SSO (Single Sign-On) : Comment activer l'authentification centralisée
Dans cet article
Qu’est-ce que l’authentification unique (SSO)
L’authentification unique (Single Sign-On, SSO) est un mécanisme d’authentification qui permet aux utilisateurs d’accéder à une application à l’aide d’un seul jeu d’identifiants géré par un Fournisseur d’Identité (IdP). Un Fournisseur d’Identité est un système qui vérifie l’identité d’un utilisateur, par exemple un système de gestion des identités et des accès de l’entreprise.
Au lieu de créer et de gérer plusieurs identifiants et mots de passe, les utilisateurs s’authentifient une seule fois via le système d’identité de leur organisation. Ils sont ensuite connectés de manière sécurisée à la plateforme, sans étapes de connexion supplémentaires.
La plateforme prend en charge l’authentification SSO via les protocoles standards suivants :
- SAML (Security Assertion Markup Language) : un standard permettant l’échange de données d’authentification et d’autorisation entre systèmes.
- OpenID Connect (OIDC) : une couche d’identité basée sur OAuth 2.0 qui utilise des jetons pour authentifier les utilisateurs.
Les deux protocoles permettent une authentification sécurisée et centralisée, tout en déléguant la gestion des identifiants au Fournisseur d’Identité.
Avantages de l’authentification unique
L’authentification unique présente des avantages à la fois pour les utilisateurs et pour les organisations.
-
Amélioration de l’expérience utilisateur
Les utilisateurs se connectent une seule fois et accèdent à la plateforme sans sollicitations répétées de connexion. -
Sécurité renforcée
L’authentification est centralisée, ce qui permet d’appliquer des politiques de sécurité telles que l’authentification multifacteur (MFA). La MFA exige l’utilisation de plusieurs méthodes pour vérifier l’identité. -
Simplification de la gestion du cycle de vie des utilisateurs
L’onboarding, l’offboarding et les modifications d’accès sont gérés directement dans le Fournisseur d’Identité. -
Réduction de la charge opérationnelle
La diminution des problèmes liés aux mots de passe réduit les demandes de support et les efforts administratifs. -
Intégration adaptée aux environnements d’entreprise
Le SSO répond aux exigences des grandes organisations et s’intègre aux systèmes existants de gestion des identités et des accès.
Comment fonctionne l’authentification unique (SSO)
L’authentification unique repose sur une relation de confiance entre la plateforme (agissant en tant que Fournisseur de Service ou Client) et un Fournisseur d’Identité externe (IdP).
-
L’utilisateur tente d’accéder à la plateforme
L’utilisateur se rend sur la plateforme et lance le processus de connexion. -
Redirection vers le Fournisseur d’Identité
La plateforme redirige l’utilisateur vers le Fournisseur d’Identité configuré. -
Authentification de l’utilisateur
L’utilisateur se connecte à l’aide de ses identifiants professionnels. Des contrôles supplémentaires, comme la MFA, peuvent s’appliquer. -
Validation de l’identité
Le Fournisseur d’Identité confirme l’identité de l’utilisateur et génère une réponse d’authentification sécurisée. -
Transmission de la réponse à la plateforme
Le Fournisseur d’Identité redirige l’utilisateur vers la plateforme. -
Accès accordé
La plateforme valide la réponse, crée une session utilisateur et autorise l’accès.
Différence principale entre SAML et OIDC
- SAML utilise des assertions.
- OIDC utilise des jetons.
L’expérience utilisateur reste fluide dans les deux cas.
Comment configurer l’authentification unique (SSO)
Le processus de configuration garantit un SSO sécurisé et fonctionnel. Un contact technique de l’équipe Professional Services vous accompagne tout au long de l’implémentation.
Étape 1 : Configurer les attributs d’authentification
Votre Fournisseur d’Identité doit transmettre les attributs utilisateurs requis lors de l’authentification.
Ces attributs sont obligatoires pour SAML et OIDC :
- Prénom de l’utilisateur (exemple : Paul)
- Nom de famille de l’utilisateur (exemple : Smith)
- Adresse e-mail de l’utilisateur (exemple :
paul.smith@domain.com)
Gestion des attributs selon le protocole :
- SAML : les attributs sont inclus dans l’assertion SAML.
- OIDC : les attributs sont fournis sous forme de claims dans le jeton ID ou via l’endpoint user info.
Étape 2 : Échanger les informations de configuration
Le processus de configuration dépend du protocole choisi.
Configuration SAML
Fournissez les métadonnées de votre Fournisseur d’Identité au contact technique désigné. Ces métadonnées doivent inclure :
- Certificat(s) de sécurité
- Endpoints d’authentification (URL)
En parallèle, configurez votre Fournisseur d’Identité à l’aide des métadonnées SSO fournies pour :
- L’environnement de test
- L’environnement de production
Configuration OIDC
Fournissez les informations suivantes concernant le Fournisseur d’Identité :
- URL de l’émetteur (Issuer)
- Client ID
- Client secret
- Endpoints d’autorisation, de jeton et user info (si non découverts automatiquement)
- Certificat de signature ou endpoint JWKS
Vous recevrez les informations de configuration nécessaires pour :
- L’environnement de test
- L’environnement de production
Étape 3 : Vérifier la configuration dans l’environnement de test
Une fois l’environnement de test configuré, un atelier est organisé entre vos équipes et l’équipe d’implémentation.
Lors de cet atelier :
- Le flux SSO est testé de bout en bout
- Les attributs utilisateurs sont validés
- Les scénarios de connexion et de déconnexion sont vérifiés
Étape 4 : Déployer le SSO en environnement de production
Si les tests sont concluants, la même configuration SSO est déployée dans l’environnement de production.
Le déploiement est effectué sous 72 heures.
Étape 5 : Vérifier le SSO en environnement de production
Un dernier atelier est organisé afin de valider, en environnement de production, les mêmes scénarios que ceux testés précédemment.
Si la validation est réussie, tous les utilisateurs peuvent accéder à la plateforme via l’authentification unique.