SSO : définition et promesses de la connexion unique

Système d’authentification SSO : quelle définition pouvons-nous donner à cette technologie de plus en plus rencontrée, dans nos vies privées comme professionnelles ?

Nous vivons dans un contexte de transformation numérique de la société, dans lequel les outils digitaux se multiplient autant que les enjeux liés à la sécurité informatique. Face à ce constat, il convient de garantir au maximum la protection de ses données personnelles au moyen d'informations d’identification sûres.

C’est là qu’intervient le SSO.

Découvrons sans plus attendre sa définition, ses avantages et inconvénients, ainsi que quelques cas d’usage afin d’appréhender au mieux cette technologie.

Pour des raisons de sécurité, nous sommes de plus en plus contraints à générer des mots de passe complexes (devant contenir au moins une majuscule, un caractère spécial, etc.). La tentation est donc grande d’utiliser les mêmes identifiants pour nous connecter à l’ensemble de nos outils numériques.

Le SSO (acronyme de single sign-on, traduction de «une seule connexion») est la technologie permettant de pallier ce problème.

Déployée aussi bien dans la sphère privée que professionnelle, elle permet de s’authentifier une seule fois pour toute la durée d’une session. Une fois connecté au moyen d’une identification unique, l’utilisateur n’a plus besoin de renseigner à nouveau ses différents mots de passe pour accéder aux applications liées au système.

Le système SSO fonctionne comme un contrat de confiance entre des fournisseurs de service (SP) et des fournisseurs d’identité (IdP). En d’autres termes, le site X sur lequel l’internaute souhaite se connecter s’en remet au fournisseur d’identité Y pour attester son identité.

Voyons en détail le processus :

1. L’utilisateur se connecte sur l’application ou le site du fournisseur de service régi par le système SSO. Pour ce faire, il entre ses codes d’accès, la plupart du temps composés du couple identifiant-mot de passe. Notez qu’il existe aussi d’autres moyens d’identification, à l’exemple des empreintes digitales ou encore des Face ID.
   
   
2. Le système SSO envoie une requête au serveur ou au site du fournisseur d’identité. Ce dernier est en charge de l’authentification de l’utilisateur et de la récupération des informations relatives à son identité. C’est pourquoi il s’assure que l’individu qui tente de se connecter a bien les droits d’accès, en validant par exemple son nom d’utilisateur et son mot de passe.
   
   
3. Le fournisseur d’identité émet ensuite des jetons d’accès, ou tokens. Stockés dans le navigateur de l’utilisateur ou dans les serveurs du service de SSO, ils permettent l’accès aux applications ou sites liés, de manière automatique.

Afin d’illustrer nos propos, focus sur deux géants qui ont intégré le système SSO web dans nos usages quotidiens :

• Facebook : depuis plusieurs années, il est possible d’utiliser uniquement nos identifiants d’accès à Facebook pour accéder à de multiples sites et applications (qui n’ont parfois rien à voir avec le célèbre réseau social). Ceci illustre parfaitement la relation de «confiance» évoquée plus haut, puisque ces divers fournisseurs de service s’en remettent à Facebook (alors fournisseur d’identité) pour authentifier les utilisateurs.
  
  
• Google : une fois connecté à votre compte Google, il est possible de naviguer sur toutes les applications liées (Gmail, YouTube, applications de la G Suite, etc.), et même sur des sites tiers.

Exemples de sites et applications proposant de vous connecter avec vos comptes Facebook et/ou Google :

Enfin, on constate que le SAML (Security Assertion Markup Language) est souvent associé à la notion de SSO.

Il s’agit en réalité d’une norme informatique (utilisant le langage XML) permettant l’échange de données d’authentification de manière sécurisée. Et un des principaux cas d’utilisation de ce standard se révèle être le SSO, puisqu’il permet aux fournisseurs d’identité de vérifier et de transmettre les données d’identification aux fournisseurs de service.

• Facilité d’usage : l’internaute n’a plus besoin de retenir tous ses identifiants et mots de passe pour se connecter à ses divers comptes.
  
  

• Niveau de sécurité accru : conséquence du point précédent, la tentation de recourir aux mêmes données d’authentification est évitée.
  
  

• Gain de temps : inutile de rentrer ses identifiants à chaque fois que l’on souhaite se connecter à un site ou à une application.

• Niveau de sécurité accru : grâce au SSO, il devient plus facile d’imposer aux équipes l’utilisation de mots de passe forts et uniques. Mais surtout, cette technologie permet le contrôle et le traçage des accès des collaborateurs.
  
  

• Augmentation de la productivité : finie la perte de temps liée à la recherche et à la saisie de ses identifiants.
  
  

• Diminution de la sollicitation des help desk : par ailleurs, les centres d’assistance sont également gagnants. Selon Evidian, 30 % des appels à destination des help desk résulteraient d’oublis de mots de passe… problème évité grâce au SSO.
  
  

• Télétravail et mobilité facilités : le SSO soutient les usages de travail modernes, à l’exemple du télétravail. En effet, il simplifie et sécurise l’accès aux différents outils de l’entreprise en tout temps et en tout lieu.

Le principal inconvénient du SSO réside dans le fait que si une personne malveillante obtient votre mot de passe maître, elle peut alors avoir accès à tous les autres.

Pour pallier ce risque, il convient :

• de déployer au sein de l’entreprise un processus IAM (Identity and Access Management) et une politique de gouvernance des identités solides ;
• d’allier méthode d’identification forte avec d’autres systèmes tels que l’utilisation de clés physiques ou encore l’authentification à deux facteurs.

Comment les entreprises peuvent-elles concrètement utiliser le SSO ? Quelques exemples de solutions et logiciels :

• 🛠️  Keycloak : Keycloak est une solution SSO open source. En tant que fournisseur d’identité en accès libre, il permet à vos équipes techniques d’implémenter en interne un SSO pour gérer les utilisateurs ou leur authentification sur les systèmes et les applications de votre choix.
  
  

• 🛠️  LastPass : LastPass est un gestionnaire de mots de passe clés en main. Avec cet outil, vous disposez d’un coffre-fort de mots de passe accessible en tout lieu à l’aide d’une authentification unique. Et grâce à l’emploi du SSO, ce logiciel vous offre la possibilité de vous connecter à plus de 1 200 applications préintégrées, sans avoir à vous soucier de renseigner à nouveau vos identifiants.
  
  

• 🛠️  Ping Identity : fournisseur d’outils de sécurité basés sur les identités, Ping Identity est une solution et entreprise SSO globale. En effet, elle propose un panel d’offres sécurisant les accès des collaborateurs, mais aussi des clients : vous déployez ainsi une technologie facilitant leur connexion et leur inscription à vos différents supports et augmentez leur fidélité. Le tout en toute flexibilité (déploiement cloud, cloud privé, on premise, etc.).

Vous aurez compris qu’il est important de réfléchir à l’implémentation d’une telle technologie au sein de votre organisation, ne serait-ce que par la mise en place d’un gestionnaire de mots de passe clés en main.

Vous répondez de la sorte un double objectif de taille :

• renforcer la sécurité des accès aux différents outils de l’entreprise,
• tout en maintenant l’expérience utilisateur et la productivité au cœur des procédures.