Le SSO est un système d’authentification unique, qui permet une délégation de l’authentification des services quotidiens vers un service spécialisé et paramétrable. Il permet à un utilisateur d’accéder à plusieurs outils et applications par un seul moyen d’authentification. Entre la suppression de la fatigue liée à la rétention des mots de passe pour les collaborateurs, le gain de temps au quotidien côté DSI, et les bénéfices liés à la sécurité pour l’entreprise, OneWave fait le point pour vous sur les cas d’usage du SSO et ses avantages..
Qu’est-ce que le SSO ?
Le SSO, (Single-Sign-On) est une méthode permettant à un utilisateur d’accéder à plusieurs applications informatiques (ou sites web sécurisés) en ne procédant qu’à une seule authentification.
Concrètement et en entreprise par exemple, le collaborateur utilise un seul et unique moyen d’authentification et peut ensuite accéder à l’ensemble de ses services, le tout sans être contraint de s’authentifier par un identifiant et un mot de passe sur chacun d’entre eux. Cet unique moyen d’authentification peut être un mot de passe, un badge physique, ou encore une empreinte biométrique, par exemple.
D’un point de vue technique, les SSO sont compatibles avec la plupart des services utilisés au quotidien par l’intermédiaire de protocoles comme SAML ou OpenID. Il convient néanmoins de vérifier la compatibilité du SSO choisi avec les services utilisés. Par ailleurs, la connexion au SSO peut parfois être cachée derrière une option payante.
En somme, le Single-Sign-On fonctionne comme une serrure unique, que l’administrateur peut paramétrer pour qu’il réagisse selon un cas donné, notamment en ce qui concerne les droits d’accès, la création de rôle et la mise en place de politiques en fonction de ces rôles. L’ensemble des identifiants et mots de passe de l’utilisateur est donc regroupé en une authentification unique.
Bon à savoir
Quelle est la différence entre un SSO et un gestionnaire de mots de passe ?
Il peut y avoir une confusion entre les solutions Single-Sign-On et les gestionnaires de mots de passe, car ces outils sont tous les deux faits pour simplifier la gestion des accès pour l’utilisateur.
Lorsqu’on parle d’authentification, il y a d’un côté le service (le vérificateur) et l’utilisateur (le vérifié). Cela implique donc un secret, transmis par l’utilisateur au service, en charge de vérifier l’exactitude des informations reçues.
Le Single-Sign-On et le gestionnaire de mots de passe protègent tous les deux les accès derrière une authentification unique, permettant à son utilisateur de ne retenir qu’un seul mot de passe.
Pourtant, la philosophie d’un SSO diffère radicalement de celle d’un gestionnaire de mot de passe. Alors que le gestionnaire mémorise les mots de passe individuels pour chacun des services de l’utilisateur, le SSO utilise le principe de délégation d’authentification pour authentifier son utilisateur sur les services qu’il utilise au quotidien. Le Single-Sign-On ne mémorise en aucun cas les mots de passe, et l’utilisateur n’a par ailleurs aucun besoin de créer des mots de passe pour les services qu’il gère.
Toutefois, alors qu’un gestionnaire est compatible partout, il faut s’assurer que les services que l’utilisateur souhaite connecter au SSO respectent au moins un standard compatible tel que SAML, OpenID Connect ou WSDL.
Les avantages du SSO
Les bénéfices du Single-Sign-On côté collaborateurs
D’un point de vue collaborateurs, le SSO simplifie grandement le quotidien des utilisateurs, avec les avantages suivants :
- Centralisation de l’ensemble des systèmes d’authentification. Le Single-Sign-On élimine tout besoin pour les utilisateurs de gérer plusieurs processus de connexion.
- Alléger la fatigue liée à la mémorisation des nombreux mots de passe, qui doivent de plus être complexes et uniques pour respecter les bonnes pratiques de cybersécurité.
- Réduction du temps passé à solliciter le support informatique. Avec le SSO, les collaborateurs ne sont plus confrontés à la fameuse problématique d’oubli des mots de passe, et gagnent du temps, s’épargnant la sollicitation de leur DSI.
Les bénéfices du Single-Sign-On pour la DSI
Pour la DSI, la mise en place d’un SSO bien paramétré présente également de nombreux atouts, notamment en ce qui concerne leur quotidien en entreprise :
- Simplifier la gestion des droits d’entrée et de sortie pour chaque utilisateur. La DSI et le support informatique maîtrisent via le Single-Sign-On les authentifications de l’ensemble des services. La DSI crée donc un compte SSO pour l’ensemble des services de chaque utilisateur ce qui centralise leurs besoins d’authentification.
- Les DSI n’ont plus qu’un seul point d’entrée à gérer, et la gestion des droits se fait à un seul et même endroit. Les potentielles erreurs sont donc limitées, car les authentifications sont gérées par la DSI et ne dépendent pas de la sécurité ou du sérieux des services utilisés.
- Dans le cadre d’un onboarding par exemple, l’entrée des nouveaux salariés et la synchronisation côté ressources humaines est automatisée, pour toujours plus de confort. La DSI pousse simplement les différents accès au nouvel entrant, qui pourra ainsi être instantanément opérationnel.
Le SSO au service de la sécurité globale de l’entreprise
Pour le volet cybersécurité, la mise en place d’un SSO correctement paramétré présente des bénéfices certains :
- Le SSO renforce l’authentification de toutes les applications. Même si les services individuels utilisés dans l’entreprise ne sont pas compatibles avec une authentification forte ou une authentification multifacteur, forcer les utilisateurs à passer par un SSO qui propose ces options permet à toutes les applications de bénéficier de cette sécurité accrue.
- Il permet également de mettre en place des politiques d’authentification adaptatives. Les SSO avancés permettent de définir et d’appliquer des politiques de « MFA dynamiques ». Cela permet notamment de gérer le risque en fonction du contexte dans lequel se trouve l’utilisateur et d’adapter l’authentification à ce même risque. Par exemple, il est possible de demander un second facteur d’authentification plus régulièrement si l’utilisateur est en déplacement, voire un troisième si le système détecte une connexion inhabituelle.
- La mise en place du Single-Sign-On limite les attaques par phishing, brute force ou credential stuffing. Le SSO évite aux utilisateurs d’utiliser le même mot de passe sur plusieurs services , et les oblige à utiliser un mot de passe fort grâce aux politiques du SSO. Par ailleurs, un SSO n’expose pas les mots de passe pour les services individuels de l’entreprise.
- Le risque de comptes fantômes est minimisé. Ce n’est un secret pour personne, la présence de ces comptes est une faille dans le système d’une entreprise, notamment parce qu’ils ne sont en général plus monitorés. Avoir un point central d’authentification permet de révoquer l’ensemble des accès d’un collaborateur qui quitte l’entreprise.
- Le SSO améliore la traçabilité. Le Single-Sign-On permet un point de passage unique, et facilite donc la production de journaux de connexion.
Lorsqu’il est correctement paramétré par le Service DSI, le Single-Sign-On devient un outil de sécurité au service de l’entreprise. D’où l’importance pour les gestionnaires de faire un réel travail d’intégration et de paramétrage. En effet, ce principe de serrure unique peut être risqué pour la sécurité des authentifications, lorsque aucune couche de sécurité supplémentaire n’a été ajoutée par le gestionnaire.
Dans quels cas mettre en place un SSO ?
Plusieurs cas pratiques peuvent pousser les entreprises à vouloir mettre en place un SSO :
- Lorsque les services d’une entreprise évoluent fréquemment. Dans certains cœurs de métiers, les SaaS utilisés par les collaborateurs sont nombreux, et évoluent couramment. Grâce à un outil de fédération de gestion des identités comme le SSO, la DSI gagne en temps de reconfiguration, et les collaborateurs en confort d’utilisation. Le SSO représente donc un outil au service de la productivité globale de l’entreprise.
- Lorsqu’une entreprise a besoin de segmenter les droits des collaborateurs, selon un projet, ou en travaillant avec des prestataires externes, par exemple. La DSI choisit qui peut avoir accès ou non à différents services.
- Lorsqu’une entreprise souhaite renforcer la sécurité des authentifications, pour des services sensibles par exemple. Le SSO instaure un point d’authentification unique pour tous les services et permet donc à la DSI d’avoir une maîtrise du service extérieur, et de rajouter des couches de sécurité comme de la 2FA. Par ailleurs, certains services d’authentification ne sont pas compatibles avec des normes robustes comme FIDO : avec le Single-Sign-On, ces incompatibilités s’effacent.
Un SSO présente de nombreux avantages, que ce soit au niveau du confort des utilisateurs mais aussi de l’administration de la DSI, la coordination RH (entrées / sorties) et l’octroi des divers droits. Combiné à un dispositif de sécurité matérielle, il constitue par ailleurs un outil de sécurité très efficace pour une entreprise. Enfin, ses bénéfices côté utilisateurs et sa facilité d’utilisation en font un outil dont l’adoption est garantie ! Néanmoins, il nécessite un paramétrage robuste afin de sécuriser le point d’entrée des authentifications et remplir toutes ses promesses.