twobee - Fotolia
Quand le SSO se marie avec succès au VDI
Alors de plus en plus d’utilisateurs du VDI dissocient les postes virtuels des applications, le SSO permet de réduire les contraintes pesant sur les utilisateurs dans la gestion de leurs identifiants.
L’authentification unique (SSO) a récemment gagné en popularité du fait de l’adoption élargie des services Cloud. Mais le SSO peut également aider les DSI à trouver un meilleur équilibre entre sécurité et expérience utilisateur dans le cadre de leurs déploiements VDI.
De fait, le SSO permet aux utilisateurs de ne saisir leur identifiant qu’une seule fois, pour accéder à leur poste de travail virtualisé. Depuis celui-ci, l’accès aux ressources internes et externes intégrées à la plateforme de SSO se fait de manière transparente.
L’un des arguments en défaveur du SSO est qu’il affaiblit la sécurité : si le compte d’un utilisateur est compromis, l’intrus peut également accéder aux ressources liées à ce compte. Ce n’est pas faux, mais il y a également des arguments convaincants en faveur du SSO.
Contrôler les accès en dehors de l’annuaire
Il y encore quatre ou cinq ans, les utilisateurs accédaient principalement à des ressources liées à l’annuaire Active Directory (AD) de l’organisation. Dans un tel contexte, le SSO est inutile puisque Windows assure le contrôle de l’accès aux ressources. La DSI peut même définir des listes de contrôle d’accès dans l’AD et associer des privilèges d’écriture et de lecture spécifiques à certains utilisateurs.
Aujourd’hui, les utilisateurs accèdent à des ressources de l’AD, des ressources Cloud, et même à des ressources contrôlées par une forêt Active Directory. Une forêt AD intègre des groupes d’utilisateurs, de machines et de terminaux, et des groupes de domaines constituant, chacun, un arbre AD. Pour accéder à des ressources au-delà de l’environnement AD, les utilisateurs doivent généralement fournir des identifiants spécifiques à chaque ressource externe. Le SSO leur permet d’accéder à des ressources tant internes qu’externe en ne s’identifiant qu’une seule fois.
Le SSO améliore la sécurité et l’expérience utilisateur du VDI
Donner aux utilisateurs accès à des ressources externes sans SSO peut parfois affaiblir la sécurité. Soyons réalistes : un utilisateur ne peut retenir qu’un nombre limité de mots de passe. Et la capacité des utilisateurs à retenir des mots de passe décroît à mesure que l’entreprise exige d’eux qu’ils soient plus complexes ou changés plus fréquemment.
C’est donc sans surprise que les utilisateurs notent par écrit leurs identifiants ou les réutilisent d’une ressource à l’autre. Dans ses efforts pour renforcer la sécurité, la DSI conduit in fine les utilisateurs à employer des techniques qui annihilent les mesures de protection.
Avec le SSO, les employés n’ont qu’un mot de passe à retenir. Et l’organisation peut attendre d’eux, de manière réaliste, qu’ils utilisent un mot de passe robuste, voire l’authentification à double facteur. Et en parallèle, chaque ressource protégée profite d’identifiants qui lui sont spécifiques. Le SSO profite tout particulièrement aux déploiements VDI parce qu’il est alors très commun que les applications résident à l’extérieur des postes virtuels.
SSO et authentification sans mot de passe
Pour certaines organisations, le SSO fonctionne encore mieux lorsqu’il est associé à une authentification biométrique ou par carte à puce. Ces deux méthodes permettent aux utilisateurs de s’authentifier sans taper de mot de passe ; le processus est ainsi perçu comme plus fluide.
Dans certains environnements, les utilisateurs peuvent être alors plus productifs. Contrairement aux PC, les postes de travail virtuels ne sont pas limités à des terminaux spécifiques : les utilisateurs sont susceptibles d’accéder à un même poste virtuel à partir de différents terminaux physiques. Ce peut notamment être le cas de certains praticiens en environnement hospitalier, sans compter les conseillers clientèle de certaines enseignes. Là, le SSO combiné une authentification biométrique ou par carte à puce permet de passer d’un terminal à l’autre de manière plus fluide.
Adapté de l’anglais.