Panorama des solutions de SSO
Le marché du Single Sign-On (authentification unique, ou « SSO
») est traditionnellement divisé en 4 catégories de solutions.
L’Enterprise SSO ou
eSSO
Le eSSO est généralement mis en œuvre en interne dans
l’entreprise à des fins de confort utilisateur. Il nécessite le déploiement
d’un (ou plusieurs) composant(s) sur les postes de travail reliés au système
d’information et consiste à injecter - à
la place des utilisateurs - des accréditations secondaires (couples
identifiant/mot de passe des utilisateurs pour les applications visées) dans
des fenêtres applicatives qui ont été au préalable enrôlées. L’avantage de
cette catégorie de SSO est de pouvoir couvrir facilement tout type
d’applications (client lourd, web, virtualisée, mainframe, etc.) ; l’inconvénient
est qu’il faut maîtriser tous les postes de travail sur lesquels on veut
déployer ce SSO.
Le Web Access
Management (ou WAM, ou Web SSO)
Le WAM s'inscrit dans des architectures 100% web, de type
portails extranet/intranet par exemple. Il ne couvre par conséquent que des
applications web, mais permet en général de garantir plus de sécurité que le
eSSO, via la mise en place de règles de contrôle d'accès avancées notamment. Il
n'est pas intrusif sur les postes de travail. En revanche il peut l'être sur
les applications, sauf s’il est déployé dans des composants de type
reverse/proxy en frontal des applications web à protéger.
La Fédération
d'identité
Dans une approche purement technique, la fédération d'identité
peut être considérée comme un moyen d’opérer une action de Web SSO en utilisant
les protocoles standards associés du marché : SAMLv2, OAuth2, OpenID Connect, WS-Federation... Dans une logique métier, ou ‘business’, elle
permet d'échanger en toute sécurité des informations d'authentification et
d'habilitations entre entités juridiques différentes : certaines sont des fournisseurs
d’identités (Identity Provider) tandis que d’autres sont des fournisseurs de services
(Service Provider). La fédération offre ainsi aux utilisateurs de ces entités une
expérience d'authentification unique et sécurisée entre domaines web différents.
De plus elle permet bien souvent de s’affranchir de la gestion des identités de
ses partenaires.
Le Mobile SSO
Le Mobile SSO permet de fournir des fonctionnalités de SSO
(eSSO, WAM, Fédération) sur les périphériques mobiles (smartphones, tablettes),
et ainsi de sécuriser les accès aux applications du système d'information
depuis ces périphériques. Ce marché est encore assez récent car il est lié à
l'explosion de la mobilité. Pour le moment, il repose majoritairement sur des solutions
de type « développements spécifiques », car rares sont les solutions
du marché qui couvrent ce domaine.
Toutes ces catégories de solutions sont généralement couplées,
plus ou moins finement, à des technologies d’authentification forte et fournissent
des fonctionnalités de contrôle d’accès logique. Elles s’appuient sur des référentiels
d’identités et assurent l’audit et la traçabilité des authentifications et des habilitations.
Le risque majeur : une
solution de SSO par cas d’usage
Forts de ce panorama des différentes solutions de SSO,
considérons à présent un système d’information lambda pour lequel on souhaite
déployer des fonctions d’authentification forte, de Single Sign-On et d’audit
des accès des utilisateurs aux applications de ce SI. Les motivations peuvent être nombreuses et variées : elles découlent
notamment des enjeux de confort utilisateur ou de sécurité visés pour le SI.
Dans ce SI, il est très probable que l’on trouve de
tout :
- des applications internes ou externes (en SaaS, Cloud…), maîtrisées ou non, de différentes technologies (web, client lourd, virtualisées, mainframe...) et plus ou moins critiques
- des utilisateurs internes ou externes, travaillant sur un PC, maîtrisé ou non, ou sur d’autres types de supports (clients légers, périphériques mobiles…), certains ayant besoin d’authentification forte, d’autres non, etc.
Donc à plus ou moins long terme, on aura immanquablement besoin
des fonctionnalités de eSSO, de Web Access Management, de Fédération d’identité
et de Mobile SSO : soit de toutes les catégories de SSO décrites
précédemment, sur des périmètres plus ou moins différents, mais pour le même
système d’information.
Evidemment le déploiement de ces fonctionnalités se fera par
étapes et potentiellement sur plusieurs années, selon les priorités de
l’entreprise. Mais le fait est que, au bout d’un certain temps, on pourra
facilement se retrouver dans la situation suivante - et c’est malheureusement le cas de très nombreuses organisations - avec
par exemple :
- une solution de eSSO déployée en interne sur les postes des utilisateurs du SI, afin de leur apporter le confort d’une authentification unique et de les rendre autonomes sur les opérations de réinitialisation de mots de passe.
- une solution de Web Access Management protégeant des applications web, déployée dans une logique d’intranet et/ou d’extranet
- une solution de fédération d’identité dédiée à des échanges B2B avec ses partenaires, ou utilisée pour améliorer l’expérience utilisateur pour les accès aux applications externes, de type O365, GoogleApps, ou SalesForce notamment
- une solution de Mobile SSO pour sécuriser les accès au SI depuis des périphériques mobiles et maîtriser ainsi les effets du BYOD
Chacune de ces solutions repose peut être sur un progiciel
du marché, une brique open source ou une solution maison réalisée en
développement spécifique. Mais au final, on risque fort de se retrouver à
administrer, maintenir, exploiter, superviser, auditer… 4 solutions différentes,
qui adressent pourtant des besoins similaires, bien que pour des usages
différents !
Le Global SSO : SSO nouvelle génération
Et pourtant, il est
possible d’éviter une telle situation !
Avec une seule et même solution qui adresserait toutes ces
fonctions, on n’aurait plus qu’une seule infrastructure commune à exploiter et
à superviser, plus qu’une seule interface d’administration pour configurer tous
les usages SSO, plus qu’un seul point d’audit fournissant la traçabilité de
tous les accès à toutes les applications pour tous les utilisateurs, et ainsi
une vision 360° de tous les accès au SI...
Cette solution existe, c’est le Global SSO !
Alors avant de se lancer dans un projet de SSO, quel qu’il
soit, il faut penser « mutualisation » et « urbanisation du
SI ». Une solution de Global SSO peut à la fois couvrir vos besoins à court
terme - et vous n’investirez que sur ce
dont vous aurez besoin - mais également vous laisser la capacité d’adresser
vos autres besoins en matière de SSO à moyen et long termes, le tout via une
démarche évolutive et itérative.
Aucun commentaire:
Enregistrer un commentaire