Definition

Authentification unique

L'authentification unique (ou SSO pour Single Sign-On) est un type de service d'authentification qui permet d'accéder à plusieurs applications en ne donnant qu'une seule fois des informations de sécurité (comme le nom et un mot de passe).

Le service authentifie l'utilisateur auprès de toutes les applications auxquelles il a accès et supprime les invites suivantes lors des changements d'application au cours de la même session.

Côté serveur, l'authentification unique permet de suivre les activités de l'utilisateur et d'administrer ses comptes.

Dans un service SSO web élémentaire, un agent sur le serveur de l'application collecte les informations d'identification spécifiques d'un utilisateur sur un serveur de stratégie SSO dédié et l'authentifie en se basant sur un référentiel d'utilisateurs, par exemple un répertoire LDAP (Lightweight Directory Access Protocol).

Certains services SSO utilisent des protocoles comme Kerberos et le langage SAML (security assertion markup language).

SAML & Kerberos

SAML est un standard XML qui facilite l'échange des données d'authentification et des données d'autorisation sur des domaines sécurisés.

Les services SSO SAML impliquent des communications entre l'utilisateur, un fournisseur d'identité qui tient à jour un répertoire d'utilisateurs, et un fournisseur de services.

Lorsqu'un utilisateur tente d'accéder à une application à partir du fournisseur de services, ce dernier envoie une requête d'authentification au fournisseur d'identité. Le fournisseur de services vérifie alors l'authentification et connecte l'utilisateur, qui n'a plus besoin de se connecter pour le reste de sa session.

Dans une configuration Kerberos, un ticket TGT (ticket-granting ticket) est émis lorsque les informations d'identification de l'utilisateur sont fournies. Le TGT récupère des tickets de service pour les autres applications auxquelles l'utilisateur veut accéder, sans demander à ce dernier d'entrer de nouveau ses informations d'identification.

Risques

L'authentification unique, très utile pour les utilisateurs, présente certains risques pour la sécurité de l'entreprise. Un pirate qui s'empare des informations d'identification unique d'un utilisateur aura accès à toutes les applications pour lesquelles l'utilisateur est accrédité.

Pour éviter les accès malveillants, il est impératif de coupler tous les aspects de l'implémentation de l'authentification unique avec la gouvernance de l'identité.

Pour améliorer la sécurité, les organisations peuvent également combiner l'authentification unique avec l'authentification à deux facteurs (2FA) ou multifacteur (MFA).

Cette définition a été mise à jour en janvier 2017

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)