Contrôle d’accès & Single Sign-On : une approche nécessairement globale

Par Olivier Morel

Directeur Avant-Vente

Panorama des solutions de SSO

Le marché du Single Sign-On (authentification unique, ou « SSO ») est traditionnellement divisé en 4 catégories de solutions.

L’Enterprise SSO ou eSSO

Le eSSO est généralement mis en œuvre en interne dans l’entreprise à des fins de confort utilisateur. Il nécessite le déploiement d’un (ou plusieurs) composant(s) sur les postes de travail reliés au système d’information et consiste à injecter - à la place des utilisateurs - des accréditations secondaires (couples identifiant/mot de passe des utilisateurs pour les applications visées) dans des fenêtres applicatives qui ont été au préalable enrôlées. L’avantage de cette catégorie de SSO est de pouvoir couvrir facilement tout type d’applications (client lourd, web, virtualisée, mainframe, etc.) ; l’inconvénient est qu’il faut maîtriser tous les postes de travail sur lesquels on veut déployer ce SSO.

Le Web Access Management (ou WAM, ou Web SSO)

Le WAM s'inscrit dans des architectures 100% web, de type portails extranet/intranet par exemple. Il ne couvre par conséquent que des applications web, mais permet en général de garantir plus de sécurité que le eSSO, via la mise en place de règles de contrôle d'accès avancées notamment. Il n'est pas intrusif sur les postes de travail. En revanche il peut l'être sur les applications, sauf s’il est déployé dans des composants de type reverse/proxy en frontal des applications web à protéger.

La Fédération d'identité

Dans une approche purement technique, la fédération d'identité peut être considérée comme un moyen d’opérer une action de Web SSO en utilisant les protocoles standards associés du marché : SAMLv2, OAuth2, OpenID Connect, WS-Federation... Dans une logique métier, ou ‘business’, elle permet d'échanger en toute sécurité des informations d'authentification et d'habilitations entre entités juridiques différentes : certaines sont des fournisseurs d’identités (Identity Provider) tandis que d’autres sont des fournisseurs de services (Service Provider). La fédération offre ainsi aux utilisateurs de ces entités une expérience d'authentification unique et sécurisée entre domaines web différents. De plus elle permet bien souvent de s’affranchir de la gestion des identités de ses partenaires.

Le Mobile SSO

Le Mobile SSO permet de fournir des fonctionnalités de SSO (eSSO, WAM, Fédération) sur les périphériques mobiles (smartphones, tablettes), et ainsi de sécuriser les accès aux applications du système d'information depuis ces périphériques. Ce marché est encore assez récent car il est lié à l'explosion de la mobilité. Pour le moment, il repose majoritairement sur des solutions de type « développements spécifiques », car rares sont les solutions du marché qui couvrent ce domaine.

Toutes ces catégories de solutions sont généralement couplées, plus ou moins finement, à des technologies d’authentification forte et fournissent des fonctionnalités de contrôle d’accès logique. Elles s’appuient sur des référentiels d’identités et assurent l’audit et la traçabilité des authentifications et des habilitations.

Le risque majeur : une solution de SSO par cas d’usage

Forts de ce panorama des différentes solutions de SSO, considérons à présent un système d’information lambda pour lequel on souhaite déployer des fonctions d’authentification forte, de Single Sign-On et d’audit des accès des utilisateurs aux applications de ce SI. Les motivations peuvent  être nombreuses et variées : elles découlent notamment des enjeux de confort utilisateur ou de sécurité visés pour le SI.

Dans ce SI, il est très probable que l’on trouve de tout :

• des applications internes ou externes (en SaaS, Cloud…), maîtrisées ou non, de différentes technologies (web, client lourd, virtualisées, mainframe...) et plus ou moins critiques
• des utilisateurs internes ou externes, travaillant sur un PC, maîtrisé ou non, ou sur d’autres types de supports (clients légers, périphériques mobiles…), certains ayant besoin d’authentification forte, d’autres non, etc.

Donc à plus ou moins long terme, on aura immanquablement besoin des fonctionnalités de eSSO, de Web Access Management, de Fédération d’identité et de Mobile SSO : soit de toutes les catégories de SSO décrites précédemment, sur des périmètres plus ou moins différents, mais pour le même système d’information.

Evidemment le déploiement de ces fonctionnalités se fera par étapes et potentiellement sur plusieurs années, selon les priorités de l’entreprise. Mais le fait est que, au bout d’un certain temps, on pourra facilement se retrouver dans la situation suivante - et c’est malheureusement le cas de très nombreuses organisations - avec par exemple :

• une solution de eSSO déployée en interne sur les postes des utilisateurs du SI, afin de leur apporter le confort d’une authentification unique et de les rendre autonomes sur les opérations de réinitialisation de mots de passe.
• une solution de Web Access Management protégeant des applications web, déployée dans une logique d’intranet et/ou d’extranet
• une solution de fédération d’identité dédiée à des échanges B2B avec ses partenaires, ou utilisée pour améliorer l’expérience utilisateur pour les accès aux applications externes, de type O365, GoogleApps, ou SalesForce notamment
• une solution de Mobile SSO pour sécuriser les accès au SI depuis des périphériques mobiles et maîtriser ainsi les effets du BYOD

Chacune de ces solutions repose peut être sur un progiciel du marché, une brique open source ou une solution maison réalisée en développement spécifique. Mais au final, on risque fort de se retrouver à administrer, maintenir, exploiter, superviser, auditer… 4 solutions différentes, qui adressent pourtant des besoins similaires, bien que pour des usages différents !

Le Global SSO : SSO nouvelle génération

Et pourtant,  il est possible d’éviter une telle situation !

Avec une seule et même solution qui adresserait toutes ces fonctions, on n’aurait plus qu’une seule infrastructure commune à exploiter et à superviser, plus qu’une seule interface d’administration pour configurer tous les usages SSO, plus qu’un seul point d’audit fournissant la traçabilité de tous les accès à toutes les applications pour tous les utilisateurs, et ainsi une vision 360° de tous les accès au SI...

Cette solution existe, c’est le Global SSO !

Alors avant de se lancer dans un projet de SSO, quel qu’il soit, il faut penser « mutualisation » et « urbanisation du SI ». Une solution de Global SSO peut à la fois couvrir vos besoins à court terme - et vous n’investirez que sur ce dont vous aurez besoin - mais également vous laisser la capacité d’adresser vos autres besoins en matière de SSO à moyen et long termes, le tout via une démarche évolutive et itérative.