Page d'accueil d'OpenText.
Thèmes techniques

Qu'est-ce que l'authentification unique ?

Illustration des éléments informatiques avec un point d'interrogation en point de mire

Aperçu de l'authentification unique (SSO)

L'authentification unique (SSO) est une méthode d'authentification qui permet aux utilisateurs d'accéder à plusieurs ressources en entrant une seule fois leurs identifiants de connexion (claim et secret). Le SSO permet à l'utilisateur de bénéficier de cette expérience dans différents systèmes et domaines. Pour maintenir un accès sans friction, le SSO doit s'étendre aux différents services en cours d'exécution et aux ressources résidant dans les centres de données et les plates-formes que les utilisateurs utilisent. Ces plateformes peuvent exister en tant que IaaS, PaaS ou en tant que service complet (SaaS), qui peuvent ou non prendre en charge un modèle de confiance.

Authentification unique

Quel est le rôle du SSO dans le dispositif de sécurité ?

Vous pouvez réaliser le SSO à l'aide de différentes technologies. Une approche plus sûre consiste à mettre en œuvre une solution dans laquelle les utilisateurs ne connaissent pas les informations d'identification de chaque service qu'ils utilisent, mais seulement celles du service principal. Comme les utilisateurs ne connaissent pas chaque identifiant, ils ne risquent pas de contourner votre centre d'authentification ou de les partager sur des plates-formes moins sécurisées.

Les organisations proposent généralement le SSO par le biais d'un modèle de confiance. Un seul fournisseur d'identité (IdP) détient les informations d'identification ou en contrôle l'accès. Dans ce modèle, chaque service s'appuie sur l'IdP pour vérifier l'identité de l'accédant. Bien que cette approche réduise le nombre d'endroits où sont stockées les données d'identification, les utilisateurs peuvent ou non connaître les données d'identification authentiques du service.

Toute conception SSO qui synchronise les informations d'identification pour chaque application ou service est l'option la moins sûre et devrait rarement, voire jamais, être utilisée. En matière de sécurité, les organisations s'efforcent de réduire le nombre de vecteurs d'attaque, et non de les augmenter.

En tant que composante d'un environnement d'authentification avancée, l'authentification unique peut être associée à l'authentification multifactorielle pour renforcer la vérification de l'identité d'un utilisateur tout en minimisant les interruptions. Cette approche permet aux organisations de maximiser la convivialité et la sécurité, en particulier lorsqu'elle est associée à des méthodes passives sans mot de passe. Bien que certains types d'authentification passive soient plus faibles que d'autres, vous pouvez les utiliser avec des mesures de vérification supplémentaires pour diverses ressources numériques. Dans le cadre de la planification du service des risques, les équipes de sécurité peuvent organiser leurs ressources en catégories de sensibilité et leur attribuer des forces d'authentification correspondantes.

Comment fonctionne le SSO

Le SSO moderne s'appuie sur des protocoles d'identité fédérés, tels que :

  • SAML 2.0 (Security Assertion Markup Language)
  • OAuth 2.0
  • OpenID Connect (OIDC)

Ces normes permettent une communication fiable entre un fournisseur d'identité (IdP) - qui authentifie l'utilisateur - et des fournisseurs de services (SP) - qui contrôlent l'accès aux applications. Une fois authentifiés, les utilisateurs reçoivent un jeton qui peut être réutilisé dans tous les services sans qu'il soit nécessaire d'entrer à nouveau les informations d'identification.

Les initiatives de SSO relèvent souvent de la catégorie de l'authentification par serveur d'annuaire : Chaque service utilise les mêmes informations d'identification provenant d'un répertoire unique, tel qu'Active Directory, ou les environnements transmettent le jeton d'authentification aux applications configurées. Les équipes peuvent utiliser l'injection d'informations d'identification et d'autres technologies pour assurer le SSO. Le SSO d'entreprise moderne utilise presque toujours des normes de fédération telles que SAML ou OpenID Connect (OIDC) avec un fournisseur d'identité (IdP). L'injection de données d'identification/synchronisation est généralement considérée comme moins sûre et moins moderne. Les protocoles de fédération largement acceptés (SAML, OIDC) sont les principaux mécanismes de SSO et sont considérés comme des normes industrielles. Quelle que soit l'approche retenue, toute solution doit également inclure un mécanisme de signature unique.

SSO dans un monde informatique hybride

Les entreprises d'aujourd'hui utilisent des systèmes sur site, des applications SaaS, des plateformes IaaS, etc. Un SSO efficace doit faire le lien entre ces environnements grâce à l'identité fédérée, à la livraison en nuage et à l'intégration des annuaires, en prenant en charge les protocoles anciens et modernes.

Avantages du SSO

  • Amélioration de l'expérience de l'utilisateur
    Connectez-vous une seule fois et accédez à toutes les applications autorisées, ce qui améliore la productivité et réduit la fatigue liée aux mots de passe.
  • Amélioration de la posture de sécurité
    Associé à l'authentification multifactorielle (MFA) et à l'analyse des risques en fonction du contexte, le SSO réduit les surfaces d'attaque tout en centralisant le contrôle.
  • Conformité et visibilité renforcées
    Le contrôle centralisé des identités permet d'améliorer la journalisation, l'audit et l'application des politiques, ce qui est essentiel pour respecter les réglementations en matière de confidentialité et de cybersécurité.
  • Réduction des frais généraux informatiques
    Moins de tickets de helpdesk pour les réinitialisations de mot de passe et des flux de travail rationalisés pour l'intégration et la désinsertion.

Comment la SSO permet-elle d'améliorer les processus internes ?

La raison la plus fréquente pour laquelle les équipes de sécurité informatique étendent l'authentification unique de leurs utilisateurs est d'offrir un accès sécurisé à l'information de manière simple et rapide. Lorsque les organisations mettent en œuvre ce niveau de commodité pour leurs informations protégées, elles gagnent en efficacité et en productivité. Le SSO permet aux utilisateurs de s'authentifier une seule fois pour les multiples applications et autres ressources numériques auxquelles ils accèdent tout au long de la journée. Au-delà de la satisfaction des utilisateurs, le SSO réduit la fatigue des mots de passe, un élément fondamental pour encourager l'hygiène des informations d'identification. Parmi les autres avantages, citons l'efficacité et la productivité mesurables. Il réduit les obstacles à l'accès, qui peuvent parfois être à l'origine de la procrastination dans l'accomplissement d'un processus d'entreprise. Cela peut être particulièrement vrai pour les professionnels travaillant à distance ou en dehors des heures de travail, qui sont souvent confrontés à des obstacles plus importants en matière de sécurité en raison de leur localisation. La commodité d'un accès simple réduit les frictions pour les processus commerciaux menés sur des appareils mobiles, leur permettant de se dérouler rapidement lorsque quelqu'un est en déplacement ou travaille en dehors des heures normales.


Comment la SSO aide-t-elle les entreprises à être compétitives ?

L'engagement des consommateurs va de la simple personnalisation aux transactions à haut risque. Ces plateformes de consommateurs utilisent souvent des données comportementales pour identifier les centres d'intérêt et rechercher des indices permettant de confirmer l'identité de l'utilisateur. Les consommateurs s'attendent désormais à ce que les marques auxquelles ils font confiance les connaissent suffisamment pour leur proposer des informations intéressantes et leur permettre d'effectuer autant d'opérations que possible sur des appareils mobiles. C'est là que l'authentification unique entre en jeu.

L'expérience mobile et en ligne d'aujourd'hui nécessite une plateforme robuste, soutenue par de multiples systèmes dorsaux, afin de fournir l'expérience de plus en plus sophistiquée que les consommateurs attendent. En règle générale, ils ne tolèrent pas de devoir vérifier leur identité plusieurs fois sur un smartphone. Ainsi, bien qu'il soit courant que les applications mobiles exploitent divers systèmes dorsaux, ceux-ci ne font pas partie de l'expérience de l'utilisateur.

Au-delà de l'accès simple, le SSO joue un rôle dans l'accès à distance plus profond et plus important. Permettre à vos consommateurs d'en faire plus avec vos produits et services continue d'être un champ de bataille dans la concurrence des applications mobiles. Avec l'évolution de l'économie numérique, les applications mobiles sont à l'origine d'un plus grand nombre d'interactions commerciales, y compris les plus risquées. Offrir des services plus significatifs que la concurrence est un moyen efficace de se différencier. Mais elle impose également davantage d'exigences à votre infrastructure d'authentification. La commodité du SSO est importante, mais il en va de même pour la vérification de l'identité en fonction du risque encouru par l'organisation. Plus une organisation peut mesurer le risque contextuel d'une demande d'accès, plus l'accès mobile à des informations privées et sensibles est large. Posez-vous la question :

  • L'utilisateur se trouve-t-il à l'endroit prévu (GSM, géolocalisation, réseau) ?
  • L'appareil est-il reconnu ?
  • Les types de demandes reflètent-ils les comportements antérieurs ?
  • Quel est le niveau de risque des données elles-mêmes ?

Sur la base de ces mesures de risque, le SSO peut fonctionner en conjonction avec des types d'authentification avancés pour faire correspondre la vérification de l'identité à ce risque, en utilisant l'authentification multifactorielle si nécessaire :

  • Offrir plusieurs options d'authentification sans mot de passe, telles que l'empreinte digitale, la reconnaissance faciale, la reconnaissance vocale, la pression hors bande, le mot de passe à usage unique, etc.
  • N'interrompez le consommateur avec une demande de vérification qu'en cas de nécessité.
  • Utilisez un ou plusieurs types d'authentification pour obtenir la force de vérification nécessaire.

Si l'authentification unique est pratique pour le consommateur, elle permet également d'équilibrer la commodité et la sécurité lorsqu'elle est utilisée avec d'autres méthodes d'authentification.


Quelles sont les erreurs les plus courantes dans la mise en œuvre du SSO ?

Les services informatiques et les entreprises devraient considérer la valeur croissante de l'authentification unique comme une courbe qui s'accélère. Plus un utilisateur possède d'identifiants, plus il est difficile de s'en souvenir. Lorsque l'entreprise réduit le nombre d'informations d'identification, les utilisateurs sont plus enclins à suivre une bonne gestion des informations d'identification.

Cette même courbe de valeur agressive est motivée par la commodité. Moins vous interrompez les utilisateurs, plus ils sont productifs (employés ou entrepreneurs) et heureux (consommateurs). Dans l'idéal, une empreinte digitale, une reconnaissance faciale ou une autre demande est effectuée lors de l'entrée dans l'application ou du démarrage d'une session, et rien d'autre. Quel que soit le nombre de services ou de ressources auxquels les utilisateurs font appel, ils ne sont pas interrompus dans leurs tâches. Dans le même ordre d'idées, plus l'application ou le service web interrompt l'utilisateur avec une demande d'authentification, moins c'est satisfaisant et contre-productif. C'est pourquoi les décisions techniques ou les mises en œuvre qui ne prévoient pas de SSO pour les ressources les plus couramment utilisées sont les plus préjudiciables.

Limiter l'authentification à Active Directory (AD)

Si AD (ainsi qu'Azure AD) est devenu le principal fournisseur d'identité, la plupart des organisations disposent de ressources essentielles qui vont au-delà. Si les organisations plus jeunes ou plus petites peuvent estimer qu'AD, complété par les solutions de fédération de Microsoft, est suffisant pour assurer l'authentification unique, la majorité d'entre elles sont plus hétérogènes que cela.

Dépendre exclusivement des technologies du modèle de confiance

L'adoption de SAML et de l'OIDC a été généralisée. Mais les environnements complexes ne permettent généralement pas d'assurer une couverture complète. Il est surprenant de constater qu'un certain nombre de services basés sur SaaS ne prennent pas en charge la fédération ou la facturent plus cher que ce que les organisations sont prêtes à payer. Inversement, les technologies d'enregistrement et de lecture ou une passerelle d'accès gérée de manière centralisée comblent les lacunes de la couverture de l'authentification unique.

Une mauvaise compréhension de l'expérience d'authentification de vos utilisateurs

Souvent, les services informatiques ne connaissent pas les différents profils des utilisateurs qui accèdent à l'information tout au long de la semaine. En l'absence d'une vision claire, ils ne peuvent pas établir de priorités quant aux ressources à ajouter à leur infrastructure d'authentification unique. En outre, les services consommés par les départements ou les lignes d'activité ne sont généralement pas inclus dans la planification du SSO.

L'avantage d'OpenText SSO

La gestion de l'identité et de l'accès OpenText™ (IAM) offre une authentification unique (SSO) sécurisée et conforme aux normes, avec :

  • Prise en charge intégrée de SAML, OAuth et OIDC.
  • Intégration avec Active Directory, LDAP et les sources d'identité en nuage.
  • Authentification adaptative et sans mot de passe.
  • Confiance fédérée dans les écosystèmes B2B et B2C.
  • Compatibilité avec les architectures modernes de confiance zéro.

OpenText™ NetIQ™ Access Manager, OpenText™ NetIQ™ Identity Foundation et OpenText™ NetIQ™ Advanced Authentication fonctionnent de concert pour offrir un contrôle d'accès unifié et flexible, applicable à tous les utilisateurs, appareils et environnements.


Comment OpenText assure-t-il le SSO ?

OpenText IAM propose cinq approches différentes pour assurer le SSO :

OpenText™ NetIQ™ Access Manager

Grâce à diverses technologies, OpenText™ NetIQ™ Access Manager propose plusieurs solutions pour mettre en œuvre l'authentification unique (SSO) pour tout service intranet ou basé sur le cloud. Quelle que soit l'interface dont disposent ou non vos applications, vos utilisateurs (collaborateurs, clients, etc.) bénéficient d'un accès rapide et pratique. Par ailleurs, OpenText™ NetIQ™ Access Manager vous offre un contrôle d'accès complet tout en s'intégrant à vos processus actuels.
 
Au-delà des avantages de l'authentification unique (SSO), OpenText™ NetIQ™ Access Manager permet d'accéder en un clic aux applications Web grâce à des icônes de configuration simples disponibles dans le mini-portail. OpenText™ NetIQ™ Access Manager’s built-in mini-portal isn’t meant to replace what you already have, but rather an option for those who don’t have one. Ce portail est simple à mettre en service, à configurer et à gérer pour les administrateurs, et intuitif pour tous les utilisateurs. L'interface d'accès rapide d'OpenText™ NetIQ™ Access Manager améliore l'expérience d'authentification unique.

OpenText™ NetIQ™ Access Manager offre à votre organisation trois options pour mettre en œuvre l'authentification unique (SSO) sur l'ensemble de vos applications cloud et intranet :

  • Passerelle d'accès - le nec plus ultra en matière de gestion des accès, tant pour le contrôle d'accès que pour l'authentification unique, la passerelle d'accès est le meilleur moyen d'offrir une expérience utilisateur transparente à travers des services multiples et des environnements complexes (cloud, off-cloud, hybride).
  • Fédération basée sur des normes — SAML, OAuth, OpenID Connect, WS-Trust et WS-Federation — OpenText™ NetIQ™ Access Manager prend en charge ces applications grâce à un catalogue de connecteurs préconfigurés ou à une boîte à outils à partir desquels vous pouvez configurer la relation de confiance entre un fournisseur d'authentification et un fournisseur de services.
  • Assistant d'authentification unique - pour le vaste océan de petites applications ou d'applications spécialisées qui ne prennent en charge aucun type de fédération, l'assistant d'authentification unique les prend toutes en charge.

Passerelle OpenText™ NetIQ™ Access Manager

La passerelle est un proxy inverse que vous pouvez placer devant n'importe quelle ressource, qu'elle dispose ou non de son propre modèle de sécurité ou de ses propres contrôles d'accès. Cela vous permet d'utiliser le même fournisseur d'identité pour la gestion des identifiants. Tout comme l'assistant d'authentification unique, la passerelle propose des règles de remplissage de formulaires permettant de remplir les formulaires HTML. Les politiques de remplissage automatique analysent chaque page de connexion, via la passerelle d'accès, afin de déterminer s'il est possible de remplir automatiquement les informations d'identification. Quel que soit le nombre de technologies d'authentification unique que vous utilisez, OpenText™ NetIQ™ Access Manager vous offre un point centralisé d'administration et de contrôle.

Single Sign-On grâce à la fédération

Pour l'authentification unique via une fédération, OpenText™ NetIQ™ Access Manager vous permet de mettre en place une relation de confiance qui peut servir de fournisseur d'identité ou de fournisseur de services, selon vos besoins. Vous devrez également configurer le type de fédération (SAML, OAuth, OpenID Connect, WS-Trust ou WS-Federation). Si vous utilisez SAML, vous pouvez choisir l'un des nombreux connecteurs préconfigurés. Si le catalogue ne propose pas de connecteur SAML préconfiguré pour le service de votre choix, vous pouvez utiliser la boîte à outils pour en configurer un vous-même.

Connexion unique par l'intermédiaire de l'assistant

Pour les services cloud trop anciens, de petite envergure ou trop rudimentaires pour prendre en charge la fédération,l'assistant d'authentification unique offre une expérience SSO avec un minimum d'efforts. Il invite les utilisateurs à télécharger le module d'extension du navigateur qui récupère en toute sécurité les identifiants lorsqu'ils sont enregistrés. Une fois l'assistant configuré, les utilisateurs bénéficient de l'authentification unique (SSO) lorsqu'ils accèdent à l'application. Pour trouver des connecteurs d'assistance prêts à l'emploi, commencez par consulter le catalogue OpenText™ NetIQ™ Access Manager Connector. Si vous ne trouvez pas le connecteur dont vous avez besoin, vous pouvez en fabriquer un vous-même. OpenText™ NetIQ™ Access Manager invite automatiquement l'utilisateur à installer le connecteur lors de la première utilisation ; par la suite, il récupère et transmet les identifiants de l'utilisateur depuis OpenText™ NetIQ™ Access Manager afin de permettre une connexion automatique. Lors de la configuration des connecteurs SSO de base pour les différentes applications, vous définissez le connecteur correspondant au site concerné. Le SSO de base récupère les identifiants des utilisateurs via un plugin ou une extension de navigateur. Il stocke en toute sécurité les identifiants des utilisateurs sur le serveur d'identité, sans jamais passer par la passerelle d'accès.

OpenText™ NetIQ™ Advanced Authentication

OpenText™ NetIQ™ Advanced Authentication permet aux utilisateurs de bénéficier d'une authentification unique sur les clients Windows. La prise en charge de l'authentification unique (SSO) couvre les applications .NET, Java, natives et Web sur tous les navigateurs courants. Cela se fait en toute transparence pour les utilisateurs finaux, ce qui leur permet de se concentrer sur leur travail principal. Même pour les utilisateurs distants qui ne sont pas connectés à un annuaire centralisé, l'authentification unique continue de fonctionner sur les ordinateurs portables isolés sans connexion Internet. OpenText™ NetIQ™ Advanced Authentication permet également de changer rapidement d'utilisateur, ce qui signifie qu'elle offre une authentification unique rapide pour les bornes interactives ou les postes de travail partagés. Il peut être activé à l'aide d'un badge ou de tout autre moyen sans contact, à la fois rapide, simple et hautement sécurisé.

OpenText offre plus d'options d'authentification unique aux organisations que n'importe quel autre fournisseur.

Comment pouvons-nous vous aider ?

Notes de bas de page