Aujourd’hui, presque tous les sites Internet exigent une authentification pour que vous puissiez accéder à leurs contenus, applications et fonctions. Malheureusement, plus le nombre de pages visitées ou de services utilisés augmente, plus la jungle des mots de passe devient difficile à gérer. L’authentification unique vous permet d’accéder à plusieurs ressources ou services après une seule connexion et vous évite ainsi de devoir vous connecter séparément. Dans cet article, nous vous expliquons comment fonctionne ce procédé, quels sont les avantages et les inconvénients du SSO par rapport aux autres méthodes d’authentification et où le trouver dans la pratique.
Dans la pratique, on distingue principalement, en matière d’authentification unique, les solutions de portail, les systèmes de tickets et les solutions locales.
SUSP utilise certes les mêmes données de connexion pour différents services, mais contrairement à SSO, une connexion séparée est nécessaire pour chaque service, y compris la saisie du login.
La SSO réduit certes le risque d’être victime de phishing ou d’une attaque de l’homme dans le navigateur. Mais si les données d’accès tombent entre de mauvaises mains, cela peut avoir des conséquences importantes.
Table des matières
1. définition : que signifie l’authentification unique et comment fonctionne-t-elle ?
.Single Sign-On (SSO) signifie en traduction libre „connexion unique“ et décrit une procédure qui vous permet d’accéder à différentes applications, services ou ressources par le biais d’un seul processus d’authentification. Au lieu d’avoir plusieurs comptes et mots de passe, vous n’avez donc plus besoin que d’un seul enregistrement de connexion.
Pour ce faire, le SSO vous attribue une identité globale, valable simultanément pour plusieurs services et connue de toutes les applications concernées. En outre, le système dispose également de toutes vos données d’accès et les confirme auprès des services et applications concernés.
Bon à savoir : Le concept d’une identité électronique centralisée ou liée, qui s’étend sur plusieurs systèmes, est appelé „identité fédérée“.
1.1 Systèmes d’authentification SSO
L’implémentation des mécanismes peut se faire de différentes manières. En principe, on distingue trois systèmes d’authentification :
- OpenID est un système d’authentification SSO décentralisé et open source qui convient en premier lieu aux services basés sur le web. Pour l’utiliser, l’utilisateur a besoin d’un compte OpenID (Identifier-URL), qu’il obtient auprès d’un fournisseur d’identité OpenID (par exemple Google). Celui-ci permet d’authentifier l’utilisateur vis-à-vis de tous les autres services SSO. Le fournisseur OI correspondant transmet ensuite un jeton qui sert de preuve de l’identité de l’utilisateur au site web concerné.
- Au cours des dernières années, le protocole OAuth2 est devenu une sorte de standard pour l’autorisation des clients dans les API et est désormais utilisé par de nombreux grands fournisseurs comme Google, Facebook ou Twitter. Au lieu de s’authentifier directement auprès d’un site web comme OpenID, l’utilisateur délègue cette tâche à un client. Celui-ci se connecte alors au site web à l’aide d’un jeton du fournisseur OI. L’avantage est que vous ne devez pas transmettre vos données directement au site web concerné.
- Le protocole d’authentification unique basé sur le web SAML (Security Assertion Markup Language) est le plus ancien des trois procédés. Il met à la disposition du navigateur de l’utilisateur un cookie de session crypté, y compris la date d’expiration, qui lui permet de s’identifier clairement auprès des autres services. Les services eux-mêmes peuvent se trouver soit dans le réseau local, soit sur Internet.
La connexion est maintenue jusqu’à ce que vous vous déconnectiez avec votre compte central („single sign-off“) ou qu’une déconnexion automatique soit initiée après une période prédéfinie.
Il est bon de le savoir : Authentification n’est pas synonyme d’autorisation. Malheureusement, la similitude des deux termes entraîne souvent des confusions. Alors que l’authentification consiste à identifier l’utilisateur à l’aide de ses données d’accès, l’autorisation consiste à donner à un service le droit d’utiliser certaines données de profil.
2. quels sont les avantages et les inconvénients du Single Sign-On par rapport aux autres méthodes d’authentification ?
L’un des plus grands avantages du SSO est certainement le gain de temps. En effet, l’authentification unique vous évite de devoir taper constamment de nouveaux noms d’utilisateur et mots de passe. Cela vous rend non seulement plus productif, mais augmente en même temps la sécurité, car la phrase n’est transmise qu’une seule fois et vous n’avez pas à vous battre avec une longue liste de mots de passe (souvent encore moins sûrs). Un seul mot de passe est généralement plus facile à mémoriser, il peut donc être un peu plus compliqué.
Si vous souhaitez bloquer ou modifier l’accès d’un utilisateur, vous n’avez plus besoin de configurer plusieurs identifiants sur différentes bases de données, ce qui prend beaucoup de temps et est source d’erreurs. Au lieu de cela, les modifications correspondantes sont effectuées sur l’identité globale et sont ainsi répliquées sur toutes les instances concernées.
Autre avantage : comme les données ne sont stockées qu’à un seul endroit, le SSO réduit également le risque d’attaques de phishing et d’attaques de l’homme dans le navigateur.
L’authentification unique n’a pas que des avantages
Mais malgré tous les aspects positifs, la procédure présente aussi quelques inconvénients que nous ne voulons évidemment pas négliger. Par exemple, le SSO ne peut être utilisé qu’avec des services que le système peut gérer. Mais cela devient vraiment dangereux si vos données d’accès tombent entre de mauvaises mains, car cela permet d’accéder à plusieurs systèmes à la fois.
En outre, la disponibilité des différents services et applications dépend directement du Single Sign-On. En clair, cela signifie que si le système est défectueux ou ne fonctionne pas correctement pour une autre raison, vous ne pouvez pas l’utiliser partiellement. Cela vaut d’ailleurs aussi pour les utilisateurs bloqués. Si votre login est bloqué pour un service SSO (par exemple en raison de plusieurs saisies erronées), vous n’avez plus accès à tous les autres.
3) Quels sont les différents types de SSO et où les trouve-t-on dans la pratique ?
En raison de leur grande convivialité, les procédures SSO se retrouvent aussi bien dans le domaine privé que professionnel et toute une série de services permettant de les mettre en œuvre se sont établis sur le marché. Il s’agit principalement de l’une des trois solutions suivantes :
3.1 Solutions de portail
Le nom le laisse déjà deviner : Avec une solution de portail, vous vous connectez à un portail dans lequel sont intégrés différentes applications, services et processus. Lors de votre inscription, votre identité est vérifiée une fois pour toutes et vous avez ensuite accès à tous les contenus, fonctions et ressources.
Un exemple typique de solution de portail est votre compte Google : Avec une seule inscription, vous pouvez entre autres utiliser Gmail et la Cloud Platform, faire des achats dans le Play Store ou personnaliser Maps.
3.2 Systèmes de tickets
Le système de tickets est une solution SSO qui consiste en un réseau de services connus les uns des autres. Pour y accéder, vous vous connectez une fois et recevez un ticket virtuel. Celui-ci vous permet de vous identifier auprès des autres participants. Le système vous certifie ensuite „digne de confiance“ et vous libère pour les autres participants.
Parmi les représentants les plus connus de la catégorie des systèmes de tickets, on trouve par exemple le Liberty Alliance Project et le service d’authentification Kerberos.
3.3 Solutions locales
Dans le cas des solutions locales, les données d’accès et les mots de passe sont déposés à un endroit central (p. ex. un support de données externe, un ordinateur en réseau dans l’entreprise ou dans le nuage) et sont cryptés à l’aide d’un seul nom d’utilisateur et d’un soi-disant „méta-mot de passe“.
Pour ce faire, on utilise généralement un client SSO qui est installé sur le poste de travail utilisé régulièrement. Celui-ci est configuré de telle sorte qu’il récupère automatiquement les informations à partir de la source correspondante et les saisit dans le masque de connexion qui vient d’être ouvert.
Les services de mot de passe d’Apple (Safari) et de Google (Chrome), par exemple, sont des clients SSO de ce type.