L’authentification unique (SSO) est une pratique de plus en plus répandue chez les entreprises qui adoptent des solutions de gestion des identités et des accès (IAM) pour s’assurer que seules les personnes autorisées ont accès aux ressources informatiques. Des protocoles tels que le SSO, associés au provisioning des utilisateurs, rationalisent les processus d’authentification, tant pour les employés que pour les administrateurs informatiques. L’utilisation de méthodes automatisées d’authentification SSO et de provisioning des utilisateurs simplifie encore le processus, tout en offrant aux employés un accès sécurisé et transparent à de multiples applications.
Qu’est-ce que l’authentification unique (SSO) ?
Les employés s’appuient sur un nombre croissant d’applications et d’autres systèmes pour effectuer leur travail. Il devient fastidieux de gérer une multitude d’identifiants de connexion, surtout si vous voulez que les employés respectent les bonnes pratiques en matière de mots de passe, comme l’utilisation de mots de passe uniques, forts et aléatoires. En permettant aux utilisateurs d’authentifier, grâce à un seul identifiant de connexion, l’accès à des applications et systèmes divers et variés, l’authentification SSO élimine la nécessité de gérer tout un florilège d’informations d’identification.
L’une des méthodes d’authentification SSO les plus courantes repose sur le protocole SAML (Security Assertion Markup Language), un protocole de gestion des identités fondé sur une norme ouverte qui permet l’échange de données d’authentification et d’autorisation entre un fournisseur d’identité et un fournisseur de services, par exemple une application cloud. L’authentification SSO basée sur SAML fait appel à des jetons sécurisés plutôt qu’à un identifiant de connexion.
Elle présente néanmoins quelques inconvénients, comme la complexité de mise en œuvre. En outre, l’authentification SSO en elle-même ne fournit pas nécessairement des contrôles suffisamment granulaires pour garantir que seules les bonnes personnes peuvent accéder à des ressources informatiques spécifiques.
Qu’est-ce que le provisioning des utilisateurs ?
Le provisioning des utilisateurs est le processus d’attribution d’autorisations en fonction des rôles et des changements d’événement tout au long du cycle de vie d’un compte. Le provisioning (et le deprovisioning) octroie, modifie ou révoque les accès et privilèges en fonction d’événements déclencheurs tels que :
- Une nouvelle embauche.
- Un changement de rôle.
- Un transfert vers une autre unité commerciale.
- Une fin de contrat.
Le provisioning des utilisateurs peut être automatisé par le biais d’une intégration avec le répertoire utilisateur, par exemple Active Directory, et en utilisant un outil de connexion tel que le protocole standard de gestion interdomaine des identités (System for Cross-domain Identity Management, SCIM), lequel synchronise les données utilisateur entre les applications et les services basés sur le cloud.
L’automatisation permet un provisioning simultané sur plusieurs applications et d’autres systèmes du réseau. Ainsi, non seulement l’expérience de l’utilisateur est améliorée, mais les administrateurs informatiques peuvent également rationaliser les ressources. De plus, le provisioning automatique renforce la sécurité et minimise le risque que des utilisateurs non autorisés accèdent à des données sensibles.
Comment l’authentification SSO et le provisioning des utilisateurs fonctionnent-ils ensemble ?
De nombreux fournisseurs de services prennent en charge l’utilisation conjointe de l’authentification SSO et du provisioning des utilisateurs. Ainsi, les administrateurs informatiques n’ont qu’à créer un compte SSO, puis à configurer le provisioning automatique pour diverses applications, comme Slack, Microsoft Office 365, Freshdesk, Asana et bien d’autres.
Par exemple, l’authentification SSO basée sur SAML fonctionne avec ce que l’on appelle le provisioning juste-à-temps (JIT). SSO SAML et JIT communiquent tous deux avec le fournisseur d’identité et le fournisseur de services en faisant appel à des jetons sécurisés, plutôt qu’à des informations d’identification, pour vérifier l’identité des utilisateurs. Dès lors qu’un administrateur informatique a configuré l’authentification SSO SAML et activé le provisioning JAT dans une application, il n’est plus nécessaire de créer à l’avance des comptes utilisateurs dans cette application. Lorsqu’un employé se connecte pour la première fois à l’application au moyen de l’authentification unique (SSO), un compte est automatiquement créé et les privilèges appropriés sont octroyés.
Si le protocole SAML présente l’avantage de permettre aux administrateurs informatiques de configurer rapidement l’authentification SSO, le provisioning manuel, qui implique le téléchargement de fichiers CVS ou la saisie manuelle de données pour les différentes applications, n’en reste pas moins un processus long et susceptible d’entraîner des erreurs. Utilisation conjointe de l’authentification SSO et du provisioning des utilisateurs :
- Renforce l’efficacité de l’équipe informatique.
- Permet aux administrateurs de gérer les accès à grande échelle.
- Offre plus de sécurité.
Pour conclure
La plate-forme de gestion des identités de SailPoint permet à votre personnel d’être productif dès le premier jour, tout en améliorant l’efficacité informatique de votre entreprise et en réduisant les risques. Découvrez comment SailPoint s’intègre aux principales solutions de gestion des accès.
Vous pourriez également vous intéresser à :
Prenez votre plate-forme cloud en main.
Découvrez comment les solutions SailPoint s’intègrent aux fournisseurs d’authentification.