Le Single Sign-On

Introduction

Depuis des années, les systèmes d’information sont montés en puissance avec l’arrivée de nombreuses applications, une ouverture vers Internet ou vers des relations extérieures à l’entreprise, comme les clients ou les fournisseurs.

Ce phénomène a induit la mise en œuvre de différents mécanismes d’authentification, faisant appel à différents référentiels, diluant ainsi la cohérence de la stratégie de sécurité globale du système d’information.

De nombreuses études ont révélé des effets négatifs de cette prise en charge hétérogène.

Effets de la complexité des systèmes d’information

Réduction de la productivité

Étant donné que la grande majorité des applications utilise leur propre référentiel d’authentification, l’utilisateur se confronte à devoir s’authentifier une multitude de fois dans son quotidien pour pouvoir accéder aux applications de son environnement professionnel, et il en va de même avec les politiques de renouvellement de mot de passe.

Réduction économique

Découlant de la productivité, le fait d’avoir multiplié les couples identifiant / mot de passe, un grand nombre d’utilisateurs se retrouve dans les situations d’oubli de mot de passe, engendrant une augmentation de charge de 40% des supports utilisateurs. De plus, les administrateurs techniques se voient confier la maintenance de ces nombreux référentiels, au détriment des actions proactives et de veille technique.

Respect du cadre réglementaire

De plus en plus d’activités professionnelles sont soumises à des obligations de traçabilité et de contrôle des accès aux différentes briques du système d’information (Sarbanes Oxley, Bâle II).

Réduction de la sécurité

Du fait de la multiplication des identifiants / mot de passe, la sollicitation auprès des utilisateurs étant devenue trop forte, il est une évidence que ces derniers ont pris l’option des mots de passe « simples ». Il est très fréquent d’être confronté à des mots de passe uniques, ou à des mots de passe « faibles », des post-it les contenant au dos des claviers, écran ou même à la vue de tout le monde !

La solution : le Single Sign-On, l’authentification unique

Afin de réduire, ou de supprimer ces situations, les entreprises se tournent vers des produits permettant une authentification unique.

L’avantage de ces produits est qu’ils permettent une authentification forte de l’utilisateur au début de sa journée de travail, puis une authentification transparente vers les différentes applications.

Ainsi, lorsque l’utilisateur lance une application, cette dernière est détectée par le moteur SSO, qui va jouer à la place de l’utilisateur l’authentification auprès de celle-ci tout en conservant la gestion des différentes erreurs liées à cette phase.

Diverses briques fonctionnelles permettent d’atteindre le niveau de sécurisation attendu.

Le module self-service vient en aide aux utilisateurs, leur permettant ainsi d’ouvrir une session ou de réinitialiser leur mot de passe au travers d’une série de questions / réponses définies par le responsable sécurité et l’utilisateur.

Le module d’audit permet également d’avoir une historisation des phases d’authentification, d’accès aux applications, des actions de renouvellement des mots de passe, sur les périodes de délégation des comptes et de permettre l’identification des postes de travail ayant servi à l’accès. Cette fonction intègre généralement une fonction de reporting, permettant ainsi d’établir des rapports multicritères ou de statistique, et donc d’avoir une visibilité en temps réel de la situation.

Le module d’authentification quant à lui permet la prise en charge des différents modes d’authentification, comme les certificats, les cartes RFID passive, les badges RFID active, les tokens USB, les lecteurs biométriques, l’usage des serveurs RADIUS, Kerberos ou l’utilisation des One Time Password. De plus, il permet de réaliser un contrôle d’accès en vérifiant différentes règles qui peuvent-être des plages horaires, nécessiter un mode d’authentification particulier (comme pour les applications critiques), interdire l’accès depuis certaines stations de travail, … Point notable, il permet aussi d’homogénéiser la politique de mot de passe en spécifiant des critères pouvant être globaux à l’ensemble du SI ou spécifique à certaines applications. Ce procédé comporte l’avantage de se positionner en amont, et de ne pas avoir la nécessité de modifier au paramétrage de la politique de sécurité des applications, qui sont parfois non maitrisées en interne.

Il est à noter que l’Enterprise SSO est différent du Web SSO. En effet, l’eSSO est basé sur un composant résidant sur les postes de travail ou sur les sessions virtuelles, qui a pour charge de détecter les fenêtres applicatives, de contrôler si une règle d’autorisation est définie, et dans l’affirmative, quelle est l’action qui doit-être réalisée. Le Web SSO repose généralement sur les technologies de proxy et reverse-proxy, ou un agent de la solution est déployé afin d’intercepter les différentes requêtes HTTP. Par contre, d’un point de vue visuel, l’utilisateur aura l’impression qu’il n’y a aucune phase d’authentification, car la phase d’authentification se réalisera complétement en amont, entre le proxy / reverse-proxy et le serveur web hébergeant l’application. Alors qu’en eSSO, le clignotement des IHM permettra de s’apercevoir de cette phase.

Le choix français : que nous proposent les éditeurs de l’hexagone ?

Aujourd’hui, deux éditeurs français sont positionnés sur ce segment, que sont les sociétés Avencis et Ilex. L’ensemble des points cités précédemment sont couverts par les deux produits et permettent une gestion centralisée des accès et des autorisations.

Avencis – SSOX

La solution SSOX est une solution d’eSSO attestant d’une très bonne intégration dans un environnement Microsoft. Même si le choix technologique est sans appel, la prise en compte de service issu d’autres éditeurs ou du monde Open Source n’a pas été mise à l’écart. Ainsi, l’ensemble des annuaires du marché est compatible avec la solution, tout comme l’intégration avec des Infrastructure de Gestion Clés tierces. Il est intéressant aussi de remarquer que cette solution embarque une solution de gestion de cartes (CMS), mais qui peut être fonctionnelle qu’avec une IGC Microsoft.

Ilex – Sign&go

Le produit Sign&go de la société Ilex est une solution dite Global SSO, car elle permet du eSSO, du Web SSO et de la fédération d’identités. Pour rappel, la fédération d’identités permet l’accès à d’autres SI sans devoir recourir à une phase d’authentification de l’utilisateur.

Le choix technologique repose sur le monde Java. Ainsi, Sign&go est un produit multiplateforme et les options de paramétrage et de configuration le rendent très malléable et totalement ajustable aux besoins de nos clients, et permettent d’atteindre tout type de demande, mais qui peuvent induire une augmentation des charges d’intégration à prendre en compte. Certains éléments différenciateurs peuvent être mis en avant sur cette solution, tels que:

  • Unifie l’ authentification forte, le Web SSO, la fédération des identités et le eSSO
  • Cette solution est à la fois dans le Gartner du eSSO et celui du Web Access Management
  • Couverture complète des standards de fédération : SAML2, OpenID, OAuth2
  • Réponse aux nouveaux usages : Kiosque, Roaming, FUS, Nouveaux device, Cloud
  • Portabilité des cinématiques d’authentification et de SSO sur les Tablettes et SmartPhone (iOS / Androïd)

D’autres éditeurs existent, tels qu’Evidian, IDactis, cela fera l’objet d’autres articles rentrant plus en profondeur sur chacune de ces solutions.

Conclusion

Au préalable, il est nécessaire de bien réfléchir aux cinématiques d’accès aux postes et aux applications, en intégrant un panel représentatif d’utilisateurs finaux, ce qui permettra une adhésion plus forte, et aider les Direction des Systèmes d’Informations à faire évoluer positivement l’image de la sécurité et des services informatiques, souvent perçue négativement par les utilisateurs.

Idéalement, l’intégration de ces solutions vient en complément d’une solution de gestion des identités. Il est donc impératif de faire appel à une société comme SYNETIS ayant des compétences sur ces deux problématiques afin de s’assurer d’avoir la vue la plus complète possible et surtout un conseil, une gestion de projet et une intégration de qualité.