Qu'est-ce que le Web SSO et comment ça marche ?

L'utilisateur professionnel moyen, selon Security Magazine, gère 191 mots de passe pour un usage professionnel et des dizaines d'autres pour un usage privé. Une organisation de 50 000 employés peut avoir jusqu'à 10 millions de mots de passe utilisés par ses employés. Avec autant de mots de passe, les failles de sécurité qui prolifèrent des cyber-attaques proviennent principalement des vulnérabilités causées par les mots de passe.

Les risques proviennent de mots de passe utilisés qui sont trop simples, faciles à deviner, utilisés pour plus d'un système et qui ne sont pas changés assez fréquemment. Les meilleures pratiques en matière de sécurité consistent à ne pas utiliser le même mot de passe sur plusieurs systèmes. La plupart des professionnels connaissent cette règle. Néanmoins, 61 % des utilisateurs professionnels moyens admettent utiliser le même mot de passe partout.

Un autre problème de cette surcharge de mots de passe est que les employés perdent énormément de temps à taper des mots de passe.

Une solution au problème de gestion des mots de passe consiste à éliminer le besoin d'en utiliser autant. Au lieu d'utiliser un groupe de mots de passe pour accéder à différents services en ligne, il est possible d'utiliser une méthode d'authentification centralisée qui provient d'un système de « signature unique basée sur le Web » (Web SSO).

Qu'est-ce que l'authentification unique Web ?

Un système Web SSO permet à un utilisateur de se connecter à l'aide du service Web SSO avec un ensemble d'informations d'identification pour l'authentification, qui sont un nom d'utilisateur et un mot de passe uniques. Ensuite, cette authentification leur permet d'accéder à de nombreuses autres applications Web et sites Web protégés par mot de passe.

Les services en ligne et les sites Web qui autorisent l'authentification SSO s'appuient sur un fournisseur tiers de confiance pour vérifier l'identification des utilisateurs.

Comment fonctionne l'authentification unique Web ?

Un système d'authentification unique sur le Web repose sur une relation de confiance entre les systèmes en ligne et les sites Web.

Voici les étapes suivies par les systèmes Web SSO pour l'authentification lorsqu'un utilisateur se connecte à un service en ligne ou à un site Web protégé par mot de passe :

1. Vérifier la connexion : La première étape consiste à vérifier si l'utilisateur est déjà connecté au système d'authentification. Si l'utilisateur est connecté, l'accès est immédiatement accordé. Si ce n'est pas le cas, l'utilisateur est dirigé vers le système d'authentification pour se connecter.
2. Connexion de l'utilisateur : Pour chaque session, l'utilisateur doit d'abord se connecter au système d'authentification avec un nom d'utilisateur et un mot de passe uniques. Le système d'authentification utilise un jeton pour la session qui reste en vigueur jusqu'à ce que l'utilisateur se déconnecte.
3. Confirmation d'authentification : une fois le processus d'authentification terminé, les informations d'authentification sont transmises au service Web ou au site Web demandant la vérification de l'utilisateur.

SSO Web contre coffre-fort de mots de passe

Web SSO diffère d'avoir un coffre-fort sécurisé de différents mots de passe pour divers services en ligne. La sauvegarde des mots de passe protège plusieurs mots de passe par un seul nom d'utilisateur et mot de passe. Cependant, chaque fois qu'un utilisateur accède à un nouveau service en ligne, cela nécessite une connexion au service. Même si les champs du formulaire sont automatiquement remplis à partir du coffre-fort de mots de passe, un processus de connexion est toujours nécessaire.

Avec Web SSO, une fois qu'un utilisateur est authentifié, il n'est pas nécessaire de se connecter à un service Web qui utilise ce système d'authentification. C'est ce qu'on appelle un processus d'authentification « se connecter une fois/utiliser tout ».

Construire une solution de connexion unique à partir de zéro

Pour certaines utilisations, il est possible de créer une solution simple de connexion unique à partir de zéro. Un exemple de code source utilisant Java est donné sur codeburst.io pour ceux qui sont enclins à essayer cette méthode. Cela fonctionne à l'aide de jetons. Un jeton est un ensemble de caractères aléatoires et uniques créés pour une utilisation unique et difficiles à deviner.

La connexion d'un utilisateur au système Web SSO crée une nouvelle session et un jeton d'authentification global. Ce jeton est remis à l'utilisateur. Lorsque cet utilisateur accède à un service Web qui nécessite une connexion, le service Web obtient une copie du jeton global de l'utilisateur, puis vérifie auprès du serveur SSO si l'utilisateur est authentifié.

Si l'utilisateur s'est déjà connecté au système SSO, le jeton est vérifié comme authentique par le serveur SSO, qui renvoie un autre jeton au service Web avec les informations de l'utilisateur. C'est ce qu'on appelle un jeton local. L'échange de jetons se fait automatiquement en arrière-plan sans l'intervention de l'utilisateur.

Solutions populaires d'authentification unique pour sites Web

Pour des utilisations plus avancées, de nombreuses solutions robustes de connexion unique sont disponibles. L'authentification à l'aide de solutions d'authentification unique de sites Web comprend ces systèmes SSO Web populaires examinés par Capterra :

• Dernier passage
• ADSelfeservice Plus
• Cloud d'accès de nouvelle génération
• Authentification unique SAP
• JumpCloud DaaS
• OneSign
• Entreprise Bluink
• SecureAuth
• Profil SSO du navigateur Web SAML
• OpenID

Avantages de l'authentification unique Web

L'authentification unique basée sur le Web est utile car elle est pratique. C'est plus facile, plus rapide et les demandes d'aide sur les mots de passe sont réduites. Les utilisateurs n'ont pas à se souvenir de plusieurs mots de passe et n'ont plus besoin de se connecter à chaque service Web individuellement.

Un exemple populaire de SSO Web est disponible pour tout titulaire de compte Google Gmail. Avec une connexion unique à Gmail, ces utilisateurs ont accès à tous les produits de Google, qui sont mis à la disposition de l'utilisateur sans avoir à se reconnecter jusqu'à ce qu'il se déconnecte de son compte Gmail. L'ouverture de Gmail permet à ces utilisateurs d'avoir un accès instantané à leur Google Drive, Google Photos, Google Apps et leur version personnalisée de YouTube.

Avec le SSO Web, le temps qui serait autrement perdu pour se connecter aux différents services est récupéré. Les plaintes concernant les problèmes de mot de passe sont pratiquement éliminées pour les services Web. Le processus de connexion aux services en ligne fonctionne efficacement sur tous les appareils, y compris les appareils mobiles, ce qui améliore la productivité.

Gestion de l'accès aux identités à l'échelle de l'entreprise

L'authentification unique basée sur le Web peut être utilisée par une grande organisation pour l'authentification. L'authentification unique Web permet à l'utilisateur d'accéder aux données de l'entreprise privée et aux systèmes en réseau via une connexion unique, ainsi que d'utiliser les ressources en ligne fournies par d'autres entités qui acceptent les mêmes protocoles d'authentification.

Intégration SSO avec les services de bases Web populaires

Les services externes d'inscription/de connexion uniques offrent une intégration avec de nombreuses applications Web populaires telles que Dropbox, Microsoft Azure Active Directory, New Relic, Salesforce, SharePoint, Slack, Zendesk et bien d'autres.

Facebook et Google proposent une intégration SSO avec des milliers de systèmes Web. Chaque fois qu'un utilisateur souhaite s'inscrire à un nouveau service doté de cette capacité d'intégration SSO, l'écran d'inscription/de connexion proposera un processus de connexion en utilisant les informations de Facebook SSO, Google SSO ou d'un non-SSO. option en utilisant le compte de messagerie d'un utilisateur comme nom d'utilisateur et un mot de passe choisi par l'utilisateur.

Intégration Web SSO avec les services cloud

Les services cloud ont leurs méthodes de gestion de l'accès des utilisateurs au cloud et peuvent également accepter l'authentification de systèmes tiers. Par exemple, Amazon Web Services (AWS), qui est le plus grand fournisseur de services cloud au monde, propose son système de gestion des accès d'identité au sein d'AWS et permet l'authentification des utilisateurs par des systèmes tiers.

La connexion établie avec les systèmes tiers est réalisée via le connecteur AWS IAM Authenticator. Cette fonctionnalité permet aux administrateurs système de choisir parmi de nombreux services qui fournissent une authentification unique Web, tels que la connexion établie avec Amazon EKS à Kubernetes ou Github open source.

Risques de sécurité de l'authentification unique basée sur le Web

Il existe des outils pour améliorer la sécurité IAM qui aident les entreprises à gérer le risque. Web SSO réduit certains risques tout en augmentant d'autres risques.

Par exemple, les attaques de phishing sont moins efficaces car lorsqu'un utilisateur est trompé par une fausse copie d'un site Web, il ne se connecte pas en donnant un nom d'utilisateur et un mot de passe. Si le site Web est faux, il n'est pas approuvé par le serveur SSO et n'obtient pas de jeton de session local s'il tente de soumettre un jeton d'utilisateur global pour le demander. Dans ce cas, la connexion à partir du faux site échouera automatiquement, ce qui évite à l'utilisateur d'être trompé par la tentative.

Le risque accru peut provenir du fait d'avoir un nom d'utilisateur et un mot de passe uniques pour le système d'authentification SSO. Ces données confidentielles doivent être extrêmement bien protégées car si elles sont volées, elles peuvent être utilisées pour se connecter à de nombreux services en ligne.

Les stratégies de sécurité basées sur une politique de confiance zéro, telles que l'authentification multifacteur, la réinitialisation automatique des mots de passe, l'exigence de mots de passe complexes qui sont différents pour chaque réinitialisation de mot de passe et les contrôles d'accès aux appareils sont utiles pour accroître la sécurité du système SSO

Conclusion

Web SSO est très pratique et largement utilisé. Cependant, tous les systèmes Web SSO ne sont pas créés de la même manière. Une sélection rigoureuse du fournisseur d'authentification SSO est la première règle d'utilisation de ce type d'authentification. Toute violation de données de ce tiers pourrait exposer les identifiants de connexion qui peuvent accéder à de nombreux systèmes en ligne, causant potentiellement de graves dommages.

Les CTO et les administrateurs informatiques sont encouragés à effectuer des examens réguliers de la sécurité informatique de leurs procédures d'authentification SSO et à suivre une stratégie de confiance zéro. Un examen de sécurité complet comprend une évaluation de sécurité approfondie de tous les tiers qui fournissent des services d'authentification.