Que signifie SSO ? #

Les employés des entreprises doivent passer quotidiennement d’une application à l’autre. Chacune d’entre elles nécessite un mot de passe sécurisé et unique, qui doit être modifié régulièrement, et ce que cela signifie exactement varie d’un outil à l’autre. Les gestionnaires de mots de passe sont un moyen éprouvé d’éviter que vos employés n’oublient constamment leurs mots de passe, mais ils nécessitent également un mot de passe. Il en résulte des tickets d’assistance inutiles, des pertes de productivité et même des problèmes de sécurité. L’authentification unique résout ce problème en permettant aux utilisateurs d’accéder à plusieurs applications ou systèmes via une connexion centrale.

  • L’authentification unique (SSO) renforce la sécurité informatique de votre ITSM grâce à une authentification centralisée des utilisateurs et à un contrôle simplifié des accès.
  • L’utilisation de procédures d’authentification unique augmente la productivité en réduisant les connexions par mot de passe.
  • Les protocoles courants tels que SAML, OAuth et LDAP permettent une intégration flexible dans les environnements cloud et hybrides tels que SeaTable.
  • Les solutions SSO basées dans l’UE ou sur site répondent aux exigences du RGPD et évitent les transferts de données vers des pays tiers.

Comment fonctionne l’authentification SSO ? #

Le processus SSO repose essentiellement sur une communication basée sur des jetons entre l’application web et un fournisseur d’identité central (IdP).

L’authentification unique simplifie la connexion des utilisateurs..

  • Les utilisateurs sont authentifiés une seule fois auprès d’un IdP, par exemple Okta ou Authentik . L’administrateur système responsable accorde ensuite l’accès à tous les services autorisés sans qu’il soit nécessaire de saisir à nouveau les mots de passe.
  • Une fois l’authentification SSO réussie, l’IdP génère un jeton SSO – une sorte de certificat de sécurité, par exemple sous forme d’assertion SAML (basée sur XML) ou de JWT (JSON Web Token) – qui est stocké soit dans le système SSO, soit dans le navigateur web. Les jetons SSO contiennent des informations sur l’utilisateur concerné, par exemple son nom d’utilisateur et son adresse e-mail.
  • Si l’utilisateur souhaite se connecter à une application web telle que SeaTable via le processus SSO, l’application envoie à son tour un jeton à l’IdP, qui est comparé au jeton SSO existant. Si l’utilisateur peut être identifié et s’il est autorisé à utiliser l’application, la solution SSO valide le jeton d’authentification et l’utilisateur obtient l’accès à l’application.

L’ensemble du processus de connexion ne prend que quelques secondes, sans que l’utilisateur ne remarque le processus d’authentification en arrière-plan. Si votre collaborateur se connecte ultérieurement à une autre application intégrée, celle-ci vérifie d’abord si un jeton valide existe déjà auprès de l’IdP. Si tel est le cas, l’utilisateur est automatiquement connecté sans avoir à se reconnecter. C’est ce que l’on appelle le « Single » dans Single Sign-On. Il existe également un Single Logout : lorsque l’utilisateur se déconnecte d’une application web, le jeton est invalidé et toutes les autres applications associées sont également déconnectées.

Pourquoi les entreprises devraient-elles mettre en œuvre le SSO ? Les avantages concrets #

  • Une gestion centralisée plutôt que des silos de mots de passe : au lieu de gérer les droits d’accès dans différents outils, vos responsables informatiques gèrent les rôles et les autorisations à partir d’un emplacement central. Cela facilite non seulement le travail de votre personnel informatique, mais réduit également la surface d’attaque et les erreurs manuelles.

  • Une meilleure acceptation des processus de transformation numérique : lorsque la transition vers de nouveaux outils se déroule sans heurts, sans problèmes de mots de passe, sans frustrations liées à la connexion et sans préoccupations en matière de sécurité, vos employés acceptent plus rapidement les changements et gagnent, selon les estimations, environ 30 minutes de temps de travail par jour, car ils n’ont pas besoin de saisir ou de réinitialiser leurs mots de passe. Après seulement deux semaines d’utilisation de la connexion SSO, cela représente une journée de travail entière gagnée pour des tâches productives. 

  • Sécurité informatique et conformité renforcées : de nombreuses solutions SSO requièrent une authentification multifactorielle et les journaux d’audit fournissent un aperçu complet des accès aux systèmes, avec les dates et les utilisateurs concernés.

  • Éviter l’informatique fantôme : en permettant aux employés d’accéder facilement et confortablement aux applications approuvées, le service informatique réduit l’utilisation d’outils non autorisés et potentiellement dangereux. Le SSO peut ainsi contribuer à empêcher l’émergence de structures informatiques fantômes .

L’authentification unique renforce la sécurité informatique.

Quels sont les protocoles d’authentification unique les plus courants ? #

La sécurité des systèmes SSO repose sur différents protocoles qui régissent l’échange d’informations entre l’application et le fournisseur d’identité. Le protocole le plus adapté à une entreprise dépend fortement de son environnement informatique et de ses exigences. Nous vous présentons ici les principaux protocoles afin de vous permettre de mieux les comprendre.

SAML 2.0 : la norme d’entreprise #

Le SAML (Security Assertion Markup Language) domine depuis des années les environnements d’entreprise et constitue la norme de facto pour l’authentification unique à l’échelle de l’entreprise. Il est également pris en charge par la gestion des équipes dans SeaTable . Dans ce cas, le jeton SSO est une assertion basée sur XML, en quelque sorte une lettre d’authentification numérique, qui est signée avec un certificat. Les avantages de l’authentification unique avec SAML sont considérables :

  • SAML est basé sur un navigateur et fonctionne de manière transparente avec les applications d’entreprise classiques.
  • SAML prend également en charge la déconnexion unique : lorsqu’un utilisateur se déconnecte, l’IdP peut mettre fin à toutes les sessions simultanément.
  • Pour les secteurs réglementés tels que l’administration publique, SAML constitue un atout majeur en raison de ses journaux faciles à auditer.

Cependant, SAML présente également des inconvénients :

  • Le format XML est plus difficile à déboguer que JSON.
  • SAML n’est pas adapté aux appareils mobiles.

OAuth 2.0 : moderne et natif pour les appareils mobiles #

OAuth 2.0 a été spécialement conçu comme SSO pour le cloud et convient aux environnements avec des microservices ou des connexions API. Connu sous le slogan « Se connecter avec Google » ou « Se connecter avec Facebook », OAuth accorde des droits d’accès délégués sans divulguer le mot de passe réel. Il est natif pour les appareils mobiles : les applications sur smartphones et tablettes fonctionnent parfaitement avec OAuth. Tout comme avec SAML, ce protocole permet également de définir des droits d’accès granulaires.

Le point faible : à l’origine, OAuth était uniquement destiné à l’autorisation, et non à l’authentification. Pour remédier à cela, OpenID Connect (OIDC) a été développé, qui étend OAuth et offre une authentification authentique. Un autre inconvénient est la gestion des jetons de rafraîchissement, qui est légèrement plus complexe, afin d’éviter que les utilisateurs aient à se reconnecter lorsqu’un jeton expire.

L’authentification unique facilite les connexions..

LDAP : le classique #

Le protocole LDAP (Lightweight Directory Access Protocol) est plus ancien que SAML et OAuth et est utilisé depuis les années 1990. LDAP stocke les répertoires utilisateurs dans une structure arborescente et est traditionnellement utilisé par Microsoft Active Directory (AD) dans les environnements Windows. Si vous utilisez un environnement Windows pur avec des serveurs sur site, cette solution est donc idéale.

Un véritable inconvénient : LDAP a été développé avant l’ère du cloud et n’est pas optimisé pour le SSO Web.

JWT : le jeton décentralisé #

Les jetons Web JSON (JWT) constituent davantage une technologie qu’un protocole SSO à proprement parler, mais ils jouent un rôle de plus en plus central dans les authentifications modernes. Un JWT est un jeton signé, basé sur du texte, qui contient des informations sur l’utilisateur, telles que son identifiant, ses rôles et sa date d’expiration. Étant donné que chaque jeton contient toutes les informations et que les jetons Web JSON sont adaptés aux appareils mobiles, cette solution convient parfaitement aux systèmes décentralisés évolutifs et aux microservices, notamment parce que les API peuvent très facilement valider une authentification JWT.

Il existe bien sûr un inconvénient : les jetons Web JSON ne peuvent pas être supprimés et restent valides jusqu’à leur expiration. Il n’est pas facile de retirer immédiatement les droits d’accès à un utilisateur, par exemple après un incident de sécurité ou un licenciement sans préavis.

Kerberos : le système de réseau Windows classique #

Kerberos était la réponse de Microsoft à l’authentification réseau sécurisée dans les domaines Windows. Il repose sur un système de tickets : le client obtient un ticket auprès du serveur Kerberos qui lui permet d’accéder à un service spécifique sans partager son mot de passe. Dans un domaine Windows pur, vous pouvez utiliser Kerberos sans difficulté pour la connexion SSO.

Cependant, son orientation stricte vers Windows sur site constitue également un inconvénient majeur. Son utilisation en tant que SSO cloud ou dans des environnements hybrides ne fonctionne qu’avec des solutions complémentaires. Et les applications mobiles modernes ? Kerberos n’est pas conçu pour cela.

Quels sont les fournisseurs d’identité disponibles pour les procédures d’authentification unique ? #

Si vous souhaitez utiliser la procédure d’authentification unique pour votre entreprise, vous avez besoin d’un outil de gestion des identités et des accès, ou en abrégé, d’un fournisseur d’identité. Vous y définissez ensuite pour chaque utilisateur authentifié les applications auxquelles il a accès. Entre-temps, le marché des outils correspondants s’est consolidé et réduit à quelques fournisseurs, dont nous vous présentons ici les plus importants :

  • Okta : leader du marché cloud natif avec plus de 7 000 intégrations d’applications préconfigurées. Okta se distingue par ses fonctionnalités complètes (MFA adaptative, politiques basées sur les risques, analyses) et son assistance performante. Cependant, étant basé aux États-Unis, il est recommandé avec certaines réserves en matière de protection des données.  

  • Microsoft Entra ID (anciennement Azure AD) : Entra a connu une forte croissance et est désormais le principal concurrent d’Okta. Le système est gratuit pour les utilisateurs de Microsoft 365 et est profondément intégré à Microsoft. Cependant, comme pour Okta, cette solution américaine soulève des préoccupations en matière de protection des données. De plus, l’intégration d’applications en dehors de l’écosystème Microsoft est complexe.

  • Authentik : cette solution open source est remarquable à tous les égards (et nous l’utilisons chez SeaTable comme IdP). Authentik peut être hébergé de manière autonome, est gratuit et prend en charge les authentifications SAML, OAuth et LDAP. L’inconvénient : la configuration nécessite des connaissances techniques et l’assistance est uniquement fournie par la communauté.

Les fournisseurs d’identité permettent l’authentification unique.

  • OneLogin : OneLogin offre des fonctionnalités fiables et dispose d’une infrastructure mondiale avec des serveurs en Allemagne. L’inconvénient : OneLogin ne prend en charge qu’environ la moitié des applications prises en charge par Okta et ne propose pas d’assistance gratuite.

  • Authelia : la solution open source la plus légère pour les procédures SSO. Authelia est basée sur des proxys et est idéale si vous avez uniquement besoin d’une solution rapide et simple pour l’authentification SSO. Le principal inconvénient : Authelia n’est pas, à proprement parler, un IdP à part entière, mais utilise l’authentification directe via des proxys inversés au lieu de protocoles autonomes.

Le Single Sign-On est-il réellement sécurisé ? Si un système SSO est piraté, les attaquants peuvent potentiellement accéder à toutes les informations d’accès. Cela ne crée-t-il pas un risque disproportionné pour la sécurité ? Cette objection est tout à fait légitime, mais il n’est pas possible d’y répondre clairement par oui ou par non.

Il ne fait aucun doute que les solutions d’authentification unique concentrent les risques : le piratage d’un IdP est donc une affaire très sérieuse. Cependant, les procédures SSO offrent également des avantages qui compensent ce risque :

1. Avec le SSO, il y a moins de mots de passe en circulation. Chaque mot de passe stocké de manière décentralisée augmente le risque de piratage.

2. L’IdP peut exiger que chaque utilisateur utilise un deuxième facteur d’authentification. L’authentification multifactorielle (MFA) bloque 99 % des attaques de phishing.

3. Les jetons SSO ont une durée de vie limitée. Par exemple, un jeton SAML ou JWT volé n’est valable qu’une heure avant d’expirer. Un mot de passe volé peut, dans certains cas, fonctionner pendant des mois.

Par conséquent, l’utilisation de l’authentification unique ne garantit pas une sécurité totale, en particulier si aucune authentification multifactorielle n’est requise. Cependant, lorsqu’elle est correctement mise en œuvre, l’authentification unique offre un niveau de protection difficilement atteignable avec des mots de passe gérés de manière décentralisée.

L’authentification unique nécessite souvent une authentification multifactorielle (MFA).

SSO et protection des données – que doivent savoir les utilisateurs ? #

Les solutions d’authentification unique peuvent également être utilisées sur site. Cependant, l’authentification SSO est le plus souvent utilisée dans les environnements cloud. Les responsables informatiques doivent donc toujours tenir compte de la protection des données et de la conformité légale lorsqu’ils choisissent une solution appropriée. Les points suivants sont particulièrement importants :

1. Quelles données sont transférées ? Lors de l’utilisation du SSO dans le cloud, les informations utilisateur sont transférées de l’IdP vers l’application. Ces données sont à caractère personnel et sont donc soumises à la législation sur la protection des données. Au regard du RGPD européen, la situation devient particulièrement critique lorsque l’IdP est basé aux États-Unis et que les données y sont transférées. Nous recommandons donc d’utiliser un fournisseur d’identité européen ou une solution sur site telle qu’Authentik. 

2. Veuillez respecter le consentement et la minimisation des données. Le RGPD exige que les utilisateurs donnent leur accord explicite au transfert de leurs données à des tiers. Un bon IdP indique donc de manière transparente quelles données sont partagées avec les différentes applications.

3. Travaillez avec des journaux d’audit bien tenus. L’article 5 du RGPD oblige les entreprises qui collectent des données à caractère personnel à rendre compte du traitement légal et sécurisé de ces données. Concrètement, cela signifie dans ce cas que les responsables doivent pouvoir prouver qui s’est connecté, quand et où. La bonne nouvelle : en règle générale, les fournisseurs d’identité enregistrent automatiquement ces informations sous forme pseudonymisée. 

4. Il est essentiel de pouvoir supprimer des utilisateurs. L’article 17 du RGPD régit le droit à l’effacement. Indépendamment de cela, il est dans l’intérêt de chaque entreprise de n’accorder à ses employés que les accès dont ils ont réellement besoin et de bloquer les accès des anciens employés. Un système SSO devrait donc vous permettre de supprimer facilement un utilisateur, si nécessaire immédiatement. 

SeaTable est plus qu’une simple solution IA no-code, hébergée en Allemagne et conforme au RGPD, pour des bases de données flexibles, des automatisations assistées par IA et la création d’applications. En tant qu’outil de transformation numérique des processus commerciaux, il s’intègre déjà parfaitement dans les environnements informatiques existants grâce à l’API SeaTable.

Les abonnés Enterprise de SeaTable Cloud et les utilisateurs de l’offre sur site SeaTable Server peuvent configurer la connexion via l’authentification unique et ainsi bénéficier d’une sécurité accrue. L’intégration est simple et ne prend que quelques minutes. Les utilisateurs du cloud doivent s’inscrire auprès d’un fournisseur d’identité qui prend en charge SAML 2.0, le protocole d’authentification utilisé par SeaTable. Vous trouverez toutes les étapes décrites dans notre article d’aide sur l’authentification unique . Les clients serveur peuvent également utiliser LDAP ou JWT et trouveront des informations détaillées dans le manuel d’administration ..

Restez informé
Recevez notre newsletter et restez informé des dernières actualités en matière de sécurité informatique et de protection des données.

FAQ – Authentification unique #

De quoi ai-je besoin pour utiliser SSO ?

Il vous suffit de disposer d’un domaine de messagerie professionnel et d’un fournisseur d’identité à authentification unique tel qu’Okta ou Authentik.

Les droits d'accès accordés via l'authentification unique peuvent-ils être facilement révoqués ?

En principe, vous pouvez invalider les jetons SSO et supprimer des utilisateurs afin que, par exemple, les anciens employés n’aient plus accès au système. Toutefois, dans le cas d’une authentification via JWT, le jeton ne peut pas être supprimé immédiatement, mais reste actif jusqu’à son expiration définie.

Puis-je également utiliser la procédure d'authentification unique avec plusieurs fournisseurs d'identité ?

Non, cela n’est pas possible. Tous les utilisateurs des domaines que vous avez créés doivent être gérés dans le même fournisseur d’identité.

Qu'est-ce qu'un jeton SSO ?

Un jeton SSO est un ensemble de données ou d’informations qui est transféré d’un système à un autre pendant le processus SSO. Les jetons sont signés numériquement par les fournisseurs d’identité, de sorte que le destinataire du jeton peut vérifier s’il provient d’une source fiable. Le certificat de sécurité nécessaire à cette signature numérique est fourni lors de la configuration initiale de l’IdP.

Quels fournisseurs d'identité peuvent communiquer avec SeaTable Cloud ?

Nous vous recommandons d’utiliser Okta, Authentik ou Microsoft Entra ID.

TAGS: Sécurité Informatique Transformation Numérique