Page d'accueil d'OpenText.
Thèmes techniques

Qu'est-ce que l'authentification unique ?

Aperçu de l'authentification unique (SSO)

L'authentification unique (SSO) est une méthode d'authentification qui permet aux utilisateurs d'accéder à plusieurs ressources en entrant une seule fois leurs identifiants de connexion (claim et secret). Le SSO permet à l'utilisateur de bénéficier de cette expérience dans différents systèmes et domaines. Pour maintenir un accès sans friction, le SSO doit s'étendre aux différents services en cours d'exécution et aux ressources résidant dans les centres de données et les plates-formes que les utilisateurs utilisent. Ces plateformes peuvent exister en tant que IaaS, PaaS ou en tant que service complet (SaaS), qui peuvent ou non prendre en charge un modèle de confiance.

Authentification unique

Quel est le rôle du SSO dans le dispositif de sécurité ?

Vous pouvez réaliser le SSO à l'aide de différentes technologies. Une approche plus sûre consiste à mettre en œuvre une solution dans laquelle les utilisateurs ne connaissent pas les informations d'identification de chaque service qu'ils utilisent, mais seulement celles du service principal. Comme les utilisateurs ne connaissent pas chaque identifiant, ils ne risquent pas de contourner votre centre d'authentification ou de les partager sur des plates-formes moins sécurisées.

Les organisations proposent généralement le SSO par le biais d'un modèle de confiance. Un seul fournisseur d'identité (IdP) détient les informations d'identification ou en contrôle l'accès. Dans ce modèle, chaque service s'appuie sur l'IdP pour vérifier l'identité de l'accédant. Bien que cette approche réduise le nombre d'endroits où sont stockées les données d'identification, les utilisateurs peuvent ou non connaître les données d'identification authentiques du service.

Toute conception SSO qui synchronise les informations d'identification pour chaque application ou service est l'option la moins sûre et devrait rarement, voire jamais, être utilisée. En matière de sécurité, les organisations s'efforcent de réduire le nombre de vecteurs d'attaque, et non de les augmenter.

En tant que composante d'un environnement d'authentification avancée, l'authentification unique peut être associée à l'authentification multifactorielle pour renforcer la vérification de l'identité d'un utilisateur tout en minimisant les interruptions. Cette approche permet aux organisations de maximiser la convivialité et la sécurité, en particulier lorsqu'elle est associée à des méthodes passives sans mot de passe. Bien que certains types d'authentification passive soient plus faibles que d'autres, vous pouvez les utiliser avec des mesures de vérification supplémentaires pour diverses ressources numériques. Dans le cadre de la planification du service des risques, les équipes de sécurité peuvent organiser leurs ressources en catégories de sensibilité et leur attribuer des forces d'authentification correspondantes.

Comment fonctionne le SSO

Le SSO moderne s'appuie sur des protocoles d'identité fédérés, tels que :

  • SAML 2.0 (Security Assertion Markup Language)
  • OAuth 2.0
  • OpenID Connect (OIDC)

Ces normes permettent une communication fiable entre un fournisseur d'identité (IdP) - qui authentifie l'utilisateur - et des fournisseurs de services (SP) - qui contrôlent l'accès aux applications. Une fois authentifiés, les utilisateurs reçoivent un jeton qui peut être réutilisé dans tous les services sans qu'il soit nécessaire d'entrer à nouveau les informations d'identification.

Les initiatives de SSO relèvent souvent de la catégorie de l'authentification par serveur d'annuaire : Chaque service utilise les mêmes informations d'identification provenant d'un répertoire unique, tel qu'Active Directory, ou les environnements transmettent le jeton d'authentification aux applications configurées. Les équipes peuvent utiliser l'injection d'informations d'identification et d'autres technologies pour assurer le SSO. Le SSO d'entreprise moderne utilise presque toujours des normes de fédération telles que SAML ou OpenID Connect (OIDC) avec un fournisseur d'identité (IdP). L'injection de données d'identification/synchronisation est généralement considérée comme moins sûre et moins moderne. Les protocoles de fédération largement acceptés (SAML, OIDC) sont les principaux mécanismes de SSO et sont considérés comme des normes industrielles. Quelle que soit l'approche retenue, toute solution doit également inclure un mécanisme de signature unique.

SSO dans un monde informatique hybride

Les entreprises d'aujourd'hui utilisent des systèmes sur site, des applications SaaS, des plateformes IaaS, etc. Un SSO efficace doit faire le lien entre ces environnements grâce à l'identité fédérée, à la livraison en nuage et à l'intégration des annuaires, en prenant en charge les protocoles anciens et modernes.

Avantages du SSO

  • Amélioration de l'expérience de l'utilisateur
    Connectez-vous une seule fois et accédez à toutes les applications autorisées, ce qui améliore la productivité et réduit la fatigue liée aux mots de passe.
  • Amélioration de la posture de sécurité
    Associé à l'authentification multifactorielle (MFA) et à l'analyse des risques en fonction du contexte, le SSO réduit les surfaces d'attaque tout en centralisant le contrôle.
  • Conformité et visibilité renforcées
    Le contrôle centralisé des identités permet d'améliorer la journalisation, l'audit et l'application des politiques, ce qui est essentiel pour respecter les réglementations en matière de confidentialité et de cybersécurité.
  • Réduction des frais généraux informatiques
    Moins de tickets de helpdesk pour les réinitialisations de mot de passe et des flux de travail rationalisés pour l'intégration et la désinsertion.

Comment la SSO permet-elle d'améliorer les processus internes ?

La raison la plus fréquente pour laquelle les équipes de sécurité informatique étendent l'authentification unique de leurs utilisateurs est d'offrir un accès sécurisé à l'information de manière simple et rapide. Lorsque les organisations mettent en œuvre ce niveau de commodité pour leurs informations protégées, elles gagnent en efficacité et en productivité. Le SSO permet aux utilisateurs de s'authentifier une seule fois pour les multiples applications et autres ressources numériques auxquelles ils accèdent tout au long de la journée. Au-delà de la satisfaction des utilisateurs, le SSO réduit la fatigue des mots de passe, un élément fondamental pour encourager l'hygiène des informations d'identification. Parmi les autres avantages, citons l'efficacité et la productivité mesurables. Il réduit les obstacles à l'accès, qui peuvent parfois être à l'origine de la procrastination dans l'accomplissement d'un processus d'entreprise. Cela peut être particulièrement vrai pour les professionnels travaillant à distance ou en dehors des heures de travail, qui sont souvent confrontés à des obstacles plus importants en matière de sécurité en raison de leur localisation. La commodité d'un accès simple réduit les frictions pour les processus commerciaux menés sur des appareils mobiles, leur permettant de se dérouler rapidement lorsque quelqu'un est en déplacement ou travaille en dehors des heures normales.

Comment la SSO aide-t-elle les entreprises à être compétitives ?

L'engagement des consommateurs va de la simple personnalisation aux transactions à haut risque. Ces plateformes de consommateurs utilisent souvent des données comportementales pour identifier les centres d'intérêt et rechercher des indices permettant de confirmer l'identité de l'utilisateur. Les consommateurs s'attendent désormais à ce que les marques auxquelles ils font confiance les connaissent suffisamment pour leur proposer des informations intéressantes et leur permettre d'effectuer autant d'opérations que possible sur des appareils mobiles. C'est là que l'authentification unique entre en jeu.

L'expérience mobile et en ligne d'aujourd'hui nécessite une plateforme robuste, soutenue par de multiples systèmes dorsaux, afin de fournir l'expérience de plus en plus sophistiquée que les consommateurs attendent. En règle générale, ils ne tolèrent pas de devoir vérifier leur identité plusieurs fois sur un smartphone. Ainsi, bien qu'il soit courant que les applications mobiles exploitent divers systèmes dorsaux, ceux-ci ne font pas partie de l'expérience de l'utilisateur.

Au-delà de l'accès simple, le SSO joue un rôle dans l'accès à distance plus profond et plus important. Permettre à vos consommateurs d'en faire plus avec vos produits et services continue d'être un champ de bataille dans la concurrence des applications mobiles. Avec l'évolution de l'économie numérique, les applications mobiles sont à l'origine d'un plus grand nombre d'interactions commerciales, y compris les plus risquées. Offrir des services plus significatifs que la concurrence est un moyen efficace de se différencier. Mais elle impose également davantage d'exigences à votre infrastructure d'authentification. La commodité du SSO est importante, mais il en va de même pour la vérification de l'identité en fonction du risque encouru par l'organisation. Plus une organisation peut mesurer le risque contextuel d'une demande d'accès, plus l'accès mobile à des informations privées et sensibles est large. Posez-vous la question :

  • L'utilisateur se trouve-t-il à l'endroit prévu (GSM, géolocalisation, réseau) ?
  • L'appareil est-il reconnu ?
  • Les types de demandes reflètent-ils les comportements antérieurs ?
  • Quel est le niveau de risque des données elles-mêmes ?

Sur la base de ces mesures de risque, le SSO peut fonctionner en conjonction avec des types d'authentification avancés pour faire correspondre la vérification de l'identité à ce risque, en utilisant l'authentification multifactorielle si nécessaire :

  • Offrir plusieurs options d'authentification sans mot de passe, telles que l'empreinte digitale, la reconnaissance faciale, la reconnaissance vocale, la pression hors bande, le mot de passe à usage unique, etc.
  • N'interrompez le consommateur avec une demande de vérification qu'en cas de nécessité.
  • Utilisez un ou plusieurs types d'authentification pour obtenir la force de vérification nécessaire.

Si l'authentification unique est pratique pour le consommateur, elle permet également d'équilibrer la commodité et la sécurité lorsqu'elle est utilisée avec d'autres méthodes d'authentification.

Quelles sont les erreurs les plus courantes dans la mise en œuvre du SSO ?

Les services informatiques et les entreprises devraient considérer la valeur croissante de l'authentification unique comme une courbe qui s'accélère. Plus un utilisateur possède d'identifiants, plus il est difficile de s'en souvenir. Lorsque l'entreprise réduit le nombre d'informations d'identification, les utilisateurs sont plus enclins à suivre une bonne gestion des informations d'identification.

Cette même courbe de valeur agressive est motivée par la commodité. Moins vous interrompez les utilisateurs, plus ils sont productifs (employés ou entrepreneurs) et heureux (consommateurs). Dans l'idéal, une empreinte digitale, une reconnaissance faciale ou une autre demande est effectuée lors de l'entrée dans l'application ou du démarrage d'une session, et rien d'autre. Quel que soit le nombre de services ou de ressources auxquels les utilisateurs font appel, ils ne sont pas interrompus dans leurs tâches. Dans le même ordre d'idées, plus l'application ou le service web interrompt l'utilisateur avec une demande d'authentification, moins c'est satisfaisant et contre-productif. C'est pourquoi les décisions techniques ou les mises en œuvre qui ne prévoient pas de SSO pour les ressources les plus couramment utilisées sont les plus préjudiciables.

Limiter l'authentification à Active Directory (AD)

Si AD (ainsi qu'Azure AD) est devenu le principal fournisseur d'identité, la plupart des organisations disposent de ressources essentielles qui vont au-delà. Si les organisations plus jeunes ou plus petites peuvent estimer qu'AD, complété par les solutions de fédération de Microsoft, est suffisant pour assurer l'authentification unique, la majorité d'entre elles sont plus hétérogènes que cela.

Dépendre exclusivement des technologies du modèle de confiance

L'adoption de SAML et de l'OIDC a été généralisée. Mais les environnements complexes ne permettent généralement pas d'assurer une couverture complète. Il est surprenant de constater qu'un certain nombre de services basés sur SaaS ne prennent pas en charge la fédération ou la facturent plus cher que ce que les organisations sont prêtes à payer. Inversement, les technologies d'enregistrement et de lecture ou une passerelle d'accès gérée de manière centralisée comblent les lacunes de la couverture de l'authentification unique.

Une mauvaise compréhension de l'expérience d'authentification de vos utilisateurs

Souvent, les services informatiques ne connaissent pas les différents profils des utilisateurs qui accèdent à l'information tout au long de la semaine. En l'absence d'une vision claire, ils ne peuvent pas établir de priorités quant aux ressources à ajouter à leur infrastructure d'authentification unique. En outre, les services consommés par les départements ou les lignes d'activité ne sont généralement pas inclus dans la planification du SSO.

L'avantage d'OpenText SSO

OpenText™ gestion des identités et des accès (IAM) offre un SSO sécurisé et basé sur des normes avec :

  • Prise en charge intégrée de SAML, OAuth et OIDC.
  • Intégration avec Active Directory, LDAP et les sources d'identité en nuage.
  • Authentification adaptative et sans mot de passe.
  • Confiance fédérée dans les écosystèmes B2B et B2C.
  • Compatibilité avec les architectures modernes de confiance zéro.

OpenText Access Manager, OpenText Core Identity Foundation et OpenText Advanced Authentication fonctionnent ensemble pour offrir un contrôle d'accès unifié et flexible pour chaque utilisateur, appareil et environnement.

Comment OpenText assure-t-il le SSO ?

OpenText IAM propose cinq approches différentes pour assurer le SSO :

OpenText Access Manager

En utilisant une variété de technologies, OpenText Access Manager dispose de plusieurs moyens de fournir un SSO pour n'importe quel intranet ou service basé sur le cloud. Quelle que soit l'interface de vos applications, vos utilisateurs (employés, clients, etc.) bénéficient d'un accès rapide et pratique. En même temps, OpenText Access Manager vous permet de contrôler entièrement l'accès en utilisant vos processus actuels.
 
Outre les avantages du SSO, OpenText Access Manager offre un accès en un clic aux applications web grâce à des icônes de configuration faciles dans le mini-portail. Le mini-portail intégré d'OpenText Access Manager n'est pas destiné à remplacer ce que vous avez déjà, mais plutôt une option pour ceux qui n'en ont pas. Le portail est léger pour les administrateurs qui doivent l'activer, le configurer et le maintenir, et il est intuitif pour tous les utilisateurs. L'interface d'accès rapide d'OpenText Access Manager améliore l'expérience d'authentification unique.

OpenText Access Manager offre à votre organisation trois options pour mettre en œuvre l'authentification unique (SSO) dans toutes vos applications basées sur le cloud et l'intranet :

  • Passerelle d'accès - le nec plus ultra en matière de gestion des accès, tant pour le contrôle d'accès que pour l'authentification unique, la passerelle d'accès est le meilleur moyen d'offrir une expérience utilisateur transparente à travers des services multiples et des environnements complexes (cloud, off-cloud, hybride).
  • La fédération basée sur les standards - SAML, OAuth, OpenID Connect, WS-Trust et WS-Federation - OpenText Access Manager prend en charge ces applications par le biais d'un catalogue de connecteurs préconfigurés ou d'une boîte à outils à partir desquels vous pouvez configurer votre confiance entre un fournisseur d'authentification et un fournisseur de services.
  • Assistant d'authentification unique - pour le vaste océan de petites applications ou d'applications spécialisées qui ne prennent en charge aucun type de fédération, l'assistant d'authentification unique les prend toutes en charge.

Passerelle OpenText Access Manager

La passerelle est un proxy inverse que vous pouvez placer devant n'importe quelle ressource, qu'elle ait ou non son propre modèle de sécurité ou ses propres contrôles d'accès. Cela vous permet d'utiliser le même fournisseur d'identité pour la gestion des informations d'identification. Comme l'assistant d'authentification unique, la passerelle propose des politiques de remplissage de formulaires qui peuvent alimenter les formulaires HTML. Les politiques de remplissage de formulaires analysent chaque page de connexion, accélérée par la passerelle d'accès, pour voir si elle peut remplir les informations d'identification. Quel que soit le nombre de technologies d'authentification unique que vous utilisez, OpenText Access Manager fournit un point central d'administration et de contrôle.

Single Sign-On grâce à la fédération

Pour l'authentification unique via la fédération, OpenText Access Manager vous permet de configurer une relation de confiance qui peut fonctionner comme un fournisseur d'identité ou un fournisseur de services, en fonction de vos besoins. Vous devez également définir le type de fédération (SAML, OAuth, OpenID Connect, WS-Trust ou WS-Federation). Si vous utilisez SAML, vous pouvez choisir l'un des nombreux connecteurs préconfigurés. Si le catalogue ne dispose pas d'un connecteur SAML préconfiguré pour le service que vous souhaitez, vous pouvez utiliser la boîte à outils pour configurer le vôtre.

Connexion unique par l'intermédiaire de l'assistant

Pour les services en nuage qui sont trop anciens, trop petits ou trop primitifs pour prendre en charge la fédération, l'assistant d'authentification unique offre une expérience d'authentification unique, avec un effort minimal. Il invite les utilisateurs à télécharger le plugin de navigateur qui permet de récupérer en toute sécurité les informations d'identification lorsqu'elles sont enregistrées. Une fois l'assistant mis en place, les utilisateurs bénéficient du SSO lorsqu'ils accèdent à l'application. Le premier endroit où vous trouverez des connecteurs d'assistant prêts à l'emploi est le catalogue de connecteurs d'OpenText Access Manager. Vous pouvez enregistrer le vôtre si vous ne trouvez pas le connecteur dont vous avez besoin. OpenText Access Manager invite automatiquement l'utilisateur à installer le connecteur la première fois, après quoi il récupère et soumet les informations d'identification de l'utilisateur à partir d'OpenText Access Manager pour une connexion automatique. Lors de la configuration des connecteurs SSO de base pour les différentes applications, vous définissez le connecteur pour le site spécifique. Le SSO de base capture les informations d'identification des utilisateurs par le biais d'un plugin de navigateur ou d'une extension. Il stocke en toute sécurité les informations d'identification de l'utilisateur sur le serveur d'identité, sans jamais utiliser la passerelle d'accès.

OpenText Advanced Authentication

OpenText Advanced Authentication offre une authentification unique aux utilisateurs des clients Windows. La prise en charge du SSO comprend les applications .NET, Java, les applications natives et les applications web sur tous les navigateurs courants. Cette solution est transparente pour les utilisateurs finaux, ce qui leur permet de se concentrer sur leur tâche principale. Même pour les utilisateurs distants qui ne sont pas connectés à un répertoire centralisé, l'authentification unique continue de fonctionner sur des ordinateurs portables isolés sans connexion internet. OpenText Advanced Authentication offre également un changement d'utilisateur rapide, ce qui signifie qu'il fournit rapidement une authentification unique pour les kiosques ou les postes de travail partagés. Il peut être invoqué à l'aide d'un badge ou d'une autre méthode sans contact, rapide, simple et hautement sécurisée.

OpenText offre plus d'options d'authentification unique aux organisations que n'importe quel autre fournisseur.

Gestion de l'accès à OpenText

Construire un ensemble réutilisable de services de gestion des accès pour vos applications nouvelles et existantes

OpenText™ Access Manager

Assurez une authentification unique et un contrôle d'accès sur l'ensemble des plateformes mobiles, cloud et historiques.

OpenText™ Advanced Authentication

Activez l'authentification multifactorielle et sans mot de passe pour une protection simple à l'échelle de votre entreprise.

OpenText™ Identity Governance et Administration

Fournissez l'accès adéquat aux bons utilisateurs de la façon la plus fluide possible.

OpenText™ Privileged Access Manager

Bénéficiez d'un contrôle centralisé des comptes administrateur à travers l'ensemble de votre environnement informatique.

Voir tous les produits apparentés

Comment pouvons-nous vous aider ?

Notes de bas de page