L’\u00e9poque o\u00f9 les employ\u00e9s s’installaient sur leur poste de travail et interagissaient exclusivement avec des applications natives est r\u00e9volue mais pas oubli\u00e9e : l’h\u00e9ritage des mots de passe uniques pour les services\/applications persiste, aggravant les frustrations des administrateurs informatiques et des utilisateurs.<\/p>\n\n\n\n
C’est particuli\u00e8rement vrai avec les infrastructures en nuage, o\u00f9 l’exposition des informations d’identification sur le r\u00e9seau et la possibilit\u00e9 d’une multitude de mots de passe faibles entravent la productivit\u00e9 des utilisateurs et augmentent les risques. Il existe une meilleure solution : l’authentification unique (SSO)<\/a>.<\/p>\n\n\n\n Le SSO est une solution que de nombreuses grandes entreprises ont adopt\u00e9e pour moderniser l’authentification et la gestion des identit\u00e9s, ainsi que pour faciliter l’entr\u00e9e et la sortie des employ\u00e9s. Un mot de passe unique et s\u00e9curis\u00e9 est utilis\u00e9 au d\u00e9part, mais les choses commencent ensuite \u00e0 fonctionner tr\u00e8s diff\u00e9remment.<\/p>\n\n\n\n Le SSO utilise SAML, un m\u00e9canisme qui partage les identit\u00e9s entre les organisations et les applications. SAML n’envoie pas de mots de passe sur le web \u00e0 chaque connexion ; il utilise plut\u00f4t un syst\u00e8me de jetons s\u00e9curis\u00e9s, ce qui r\u00e9duit les risques de s\u00e9curit\u00e9 lorsqu’il est correctement mis en \u0153uvre. En d’autres termes, un avenir \u00ab sans mot de passe \u00bb avec des normes d’authentification modernes comme SAML et OAuth<\/a> devrait figurer sur votre feuille de route.<\/p>\n\n\n\n Vous vous demandez peut-\u00eatre pourquoi l’adoption du SSO n’est pas universelle. La r\u00e9ponse est compliqu\u00e9e : de nombreuses petites et moyennes entreprises (PME) sont embourb\u00e9es dans des environnements d’annuaire anciens qui utilisent le protocole r\u00e9seau Kerberos pour s\u00e9curiser l’authentification sur les r\u00e9seaux locaux.<\/p>\n\n\n\n Cela fonctionnait bien dans ce sc\u00e9nario \u00ab sur site \u00bb, mais les infrastructures informatiques d’aujourd’hui ne sont pas toutes locales et utiliser des mots de passe pour s’authentifier dans chaque service revient \u00e0 r\u00e9soudre un probl\u00e8me par un autre. La mentalit\u00e9 de Kerberos, centr\u00e9e sur les mots de passe, est devenue pr\u00e9judiciable \u00e0 la s\u00e9curit\u00e9, et son utilisation est complexe et risqu\u00e9e dans le cadre de d\u00e9ploiements inter-royaux (c’est-\u00e0-dire que si A fait confiance \u00e0 B et B \u00e0 C, A pourrait faire confiance \u00e0 C).<\/p>\n\n\n\n Vous constaterez \u00e9galement que cet ancien protocole compliqu\u00e9 est difficile \u00e0 d\u00e9panner, qu’il est difficile de v\u00e9rifier les garanties de s\u00e9curit\u00e9 et qu’il peut donner lieu \u00e0 des autorisations d\u00e9l\u00e9gu\u00e9es sans contraintes en aval. Les r\u00e9sultats les plus pernicieux de cette dette technique sont : une gestion difficile des mots de passe, le risque de r\u00e9utilisation des mots de passe et les violations de donn\u00e9es qui exposent ces informations d’identification.<\/p>\n\n\n\n Tous ces \u00e9l\u00e9ments augmentent vos risques (inacceptables), ce qui rend les violations de donn\u00e9es plus probables. Le SSO est un moyen moderne et simple de r\u00e9soudre tous ces probl\u00e8mes, mais sa mise en place prend du temps.<\/p>\n\n\n\n Franchement, \u00ab le SSO est difficile \u00e0 tester \u00bb est un autre refrain courant. Vous ne coderiez pas un site Web sans avoir visionn\u00e9 le produit et effectu\u00e9 des tests avant d’entrer en production. Votre marque, votre r\u00e9putation et la satisfaction des utilisateurs en p\u00e2tiraient, et cela n’a aucun sens. Il en va de m\u00eame pour le SSO, o\u00f9 :<\/p>\n\n\n\n Les ressources d’essai ne sont g\u00e9n\u00e9ralement pas disponibles publiquement ou consistent en des essais limit\u00e9s dans le temps qui peuvent ne pas \u00eatre synchronis\u00e9s avec votre calendrier.<\/p>\n\n\n\n Avant de commencer, l’importance du SSO en tant qu’exigence de s\u00e9curit\u00e9 fondamentale n’est pas toujours \u00e9vidente au premier abord. L’\u00e9crasante majorit\u00e9 des cyberattaques<\/a> sont des \u00ab drive-by \u00bb o\u00f9 les attaquants tirent parti d’une mauvaise hygi\u00e8ne informatique, comme des mots de passe faibles.<\/p>\n\n\n\n Ce ne sont g\u00e9n\u00e9ralement pas les menaces persistantes avanc\u00e9es (APT) compliqu\u00e9es qui exposent les donn\u00e9es et les utilisateurs d’une entreprise, mais le fait de ne pas \u00eatre proactif et d’adopter des solutions modernes. Ajoutez \u00e0 cela la difficult\u00e9 de g\u00e9rer un grand nombre d’informations d’identification et d’autorisations d’utilisateurs disparates, ce qui donne des maux de t\u00eate aux administrateurs informatiques rien que d’y penser. La violation de la s\u00e9curit\u00e9 de Colonial Pipeline en est un exemple et a \u00e9t\u00e9 la cons\u00e9quence d’un seul mauvais mot de passe<\/a> et d’un seul compte dont le service informatique avait perdu la trace.<\/p>\n\n\n\n Des IdP et des ressources de test facilement accessibles vous permettent de \u00ab le faire maintenant \u00bb, plut\u00f4t que de reporter \u00e0 plus tard un projet hautement prioritaire. Une matrice de priorit\u00e9 normalis\u00e9e vous aidera \u00e0 faire valoir vos arguments en interne, sur la base d’un syst\u00e8me de triage de tous vos projets, avec une compr\u00e9hension mutuelle entre l’informatique et les responsables de niveau C, en tenant compte du budget et de l’urgence.<\/p>\n\n\n\n Une utilisation judicieuse de toutes les capacit\u00e9s de votre IdP, comme le SSO, contribuera grandement \u00e0 la protection de votre organisation. L’adoption du SSO devrait \u00eatre une priorit\u00e9 dans votre \u00e9valuation de toute plateforme d’annuaire et d’authentification, ce qui est rendu possible par l’utilisation du test gratuit SAML Service Provider (SP).<\/p>\n\n\n\n Il permet d’\u00e9valuer pleinement la solution SSO<\/a> avant de l’acheter, ce qui renforce votre expertise ainsi que la confidentialit\u00e9, l’int\u00e9grit\u00e9 et la disponibilit\u00e9 des ressources informatiques qui sont vitales pour votre entreprise. Une violation co\u00fbte bien plus cher que le SSO. L’utilisation du test SP est simple, et est d\u00e9crite en d\u00e9tail ci-dessous.<\/p>\n\n\n\n Maintenant, passons \u00e0 l\u2019\u00e9tape du testing.<\/em><\/p>\n\n\n\n Il y a trois entit\u00e9s \u00e0 garder \u00e0 l’esprit lorsque vous d\u00e9marrez votre projet SSO :<\/p>\n\n\n\n Les outils de test sont \u00e9galement utiles, et un service gratuit appel\u00e9 SAML Test Service Provider<\/a> est disponible gratuitement pour acc\u00e9l\u00e9rer vos efforts en mati\u00e8re de SSO. De nombreux fournisseurs d’identit\u00e9 ne sont pas pr\u00eats \u00e0 fournir un bac \u00e0 sable \u00e0 des fins de testing, alors faites preuve de diligence lorsque vous choisissez le v\u00f4tre. Il est \u00e9galement important de tenir compte de la prise en charge du SSO lorsque vous choisissez un fournisseur de services Internet. Les fournisseurs de services peuvent devenir un obstacle \u00e0 l’adoption du SSO lorsque la tarification exploite votre d\u00e9sir d’adopter les meilleures pratiques de s\u00e9curit\u00e9.<\/p>\n\n\n\n Le SSO n’est pas un luxe, mais une n\u00e9cessit\u00e9 absolue pour les organisations comptant plus de 5 membres. Cependant, des fonctionnalit\u00e9s telles que la prise en charge de SAML sont souvent li\u00e9es \u00e0 des niveaux de service plus \u00e9lev\u00e9s au sein des applications Web (\u00e9galement appel\u00e9es plus haut : fournisseurs de services).<\/p>\n\n\n\n C’est ce qu’on appelle officieusement la \u00ab taxe SSO<\/a> \u00bb, qui rend les projets plus difficiles \u00e0 justifier lorsque les co\u00fbts sont multipli\u00e9s. Utilisez un fournisseur de services qui offre le SSO<\/a> comme une fonctionnalit\u00e9 de base du produit ; sinon, cette capacit\u00e9 vitale peut \u00eatre hors de port\u00e9e du budget de votre organisation.<\/p>\n\n\n\n Un autre point douloureux commun que le fournisseur de services de test abordera est la pr\u00e9paration : SAML fait de la migration une proposition \u00ab tout ou rien \u00bb. Tous les utilisateurs doivent \u00eatre authentifi\u00e9s via le SSO d\u00e8s le d\u00e9part. Par cons\u00e9quent, tester votre mise en \u0153uvre bien \u00e0 l’avance portera ses fruits avec une ressource de formation facilement disponible, permettant aux utilisateurs d’obtenir un niveau de confort et de comp\u00e9tence de base avec le processus de connexion au portail avant le basculement.<\/p>\n\n\n\n Il existe deux fa\u00e7ons d’effectuer vos tests : Le SSO initi\u00e9 par l’IdP et le SSO initi\u00e9 par le SP. Dans cet exemple, JumpCloud est l’IdP en combinaison avec le fournisseur de tests gratuits.<\/p>\n\n\n\n L’\u00e9tape initiale <\/strong>pour utiliser le fournisseur de services de test est la m\u00e9thode initi\u00e9e par l’IdP. Vous pouvez obtenir les m\u00e9tadonn\u00e9es SAML du SP de test, qui sont disponibles ici<\/a>. Les m\u00e9tadonn\u00e9es sont des informations qui d\u00e9crivent le service afin que votre IdP puisse le consommer.<\/p>\n\n\n\n Votre IdP disposera d’une interface permettant de cr\u00e9er un connecteur SAML<\/a> g\u00e9n\u00e9rique (remarque : les IdP disposent g\u00e9n\u00e9ralement d’une biblioth\u00e8que<\/a> de connecteurs pr\u00e9fabriqu\u00e9s pr\u00eats \u00e0 l’emploi pour les services couramment utilis\u00e9s). Cette \u00e9tape permettra d’int\u00e9grer votre IdP \u00e0 l’outil de test SAML avec une configuration par d\u00e9faut.<\/p>\n\n\n\n La possibilit\u00e9 de personnaliser son aspect et sa convivialit\u00e9 est d\u00e9crite ici<\/a>. Cependant, il n’est pas n\u00e9cessaire de personnaliser quoi que ce soit pour effectuer des tests fonctionnels de base \u00e0 l’aide de l’outil gratuit. Voici quelques ressources qui d\u00e9mystifieront le d\u00e9but de ce processus :<\/p>\n\n\n\n L’\u00e9tape des m\u00e9tadonn\u00e9es est un pr\u00e9requis pour le SSO initi\u00e9 par le SP. Vous suivrez une proc\u00e9dure similaire pour le SSO initi\u00e9 par le SP en t\u00e9l\u00e9chargeant<\/strong> (ou en coupant et collant) les m\u00e9tadonn\u00e9es IdP<\/strong> dans l’outil de test. Il en r\u00e9sultera la cr\u00e9ation d’une URL unique<\/strong> que vous utiliserez pour vous connecter tout au long de vos tests.<\/p>\n\n\n\n L’URL renvoie \u00e0 l’IdP, qui s’occupe de la gestion de l’identit\u00e9 et de l’authentification. Les instructions insistent sur la n\u00e9cessit\u00e9 de mettre cette URL en signet et sur le fait que l’acc\u00e8s \u00e0 celle-ci enverra une demande SAML AuthNRequest \u00e0 votre IdP, qui est simplement un message envoy\u00e9 par le SP demandant l’authentification de la session d’un utilisateur donn\u00e9.<\/p>\n\n\n\n Le processus d’importation des m\u00e9tadonn\u00e9es IdP doit \u00eatre r\u00e9p\u00e9t\u00e9 dans l’outil si vous le perdez, il est donc conseill\u00e9 de le garder \u00e0 port\u00e9e de main pendant toute la dur\u00e9e du test (ne vous inqui\u00e9tez pas, il y a des instructions d\u00e9taill\u00e9es sur la page Web du service de test). La consid\u00e9ration la plus importante est d’avoir un IdP qui vous permettra d’exp\u00e9rimenter \u00e0 votre propre rythme.<\/em><\/p>\n\n\n\n Le site de test comprend des informations suppl\u00e9mentaires, mais aussi un \u00ab AuthNRequest Wizard<\/strong> \u00bb qui s’affiche en haut de la page une fois que l’utilisateur s’est authentifi\u00e9. Vous pouvez l’utiliser pour d\u00e9terminer une m\u00e9thode d’authentification sp\u00e9cifique de l’IdP (AuthenticationContextClassRef) ou signaler que l’authentification initiale a eu lieu afin que l’IdP puisse ensuite s\u00e9lectionner un facteur plus fort pour renforcer votre s\u00e9curit\u00e9.<\/p>\n\n\n\n Il est fortement conseill\u00e9 d’utiliser l’authentification multifactorielle (MFA, ou multi-factor authentication<\/a>), mais il faut toujours tenir compte de l’aspect humain de la mise en \u0153uvre et de l’utilisation quotidienne. Diff\u00e9rentes formes d’authentification sont plus faciles et certaines sont plus difficiles \u00e0 ma\u00eetriser pour l’utilisateur. Les notifications push sont souvent d\u00e9crites comme \u00e9tant les plus conviviales.<\/p>\n\n\n\n Choisissez une couleur, n’importe laquelle.<\/p>\n\n\n\n Vous voulez un portail que les utilisateurs reconna\u00eetront imm\u00e9diatement et auquel ils feront confiance gr\u00e2ce \u00e0 une image de marque et un sch\u00e9ma de couleurs appropri\u00e9s. L’outil de test dispose d’une fonction appel\u00e9e \u00ab RelayState \u00bb qui permet de personnaliser l’apparence de la page prot\u00e9g\u00e9e ; de d\u00e9finir l’attribut \u00e0 une couleur prise en charge du c\u00f4t\u00e9 IdP (NameID) ou de d\u00e9clencher un changement de couleur sans modifier la configuration en ajoutant l’URL unique du site de test — par exemple \u00ab https:\/\/sptest.iamshowcase.com\/protected?color=blue<\/a> \u00bb.<\/p>\n\n\n\n NameID, une d\u00e9claration d’attribut SAML, est l’endroit o\u00f9 d’autres personnalisations, comme un message de bienvenue, sont d\u00e9finies. Des informations suppl\u00e9mentaires sur les attributs peuvent \u00eatre trouv\u00e9es ici<\/a> (t\u00e9l\u00e9chargement PDF). Le site de test fournit l’exemple suivant sp\u00e9cifique \u00e0 l’outil :<\/p>\n\n\n\n \u00ab Bonjour <pr\u00e9nom> <nom> \u00bb<\/p>\n\n\n\n Pour remplir les champs <pr\u00e9nom> et\/ou <nom>, il essaiera de trouver un attribut appel\u00e9 \u00ab pr\u00e9nom \u00bb pour <pr\u00e9nom> et \u00ab nom \u00bb ou \u00ab nomdefamille \u00bb pour <nom>. Tout ceci ignore totalement la casse du nom de l’attribut, donc pr\u00e9Nom, Pr\u00e9nom, pr\u00e9nom, Pr\u00c9nOm sont tous les m\u00eames (si vous pensez que Pr\u00c9nOm est une bonne id\u00e9e… nous saluons votre audace !)<\/p>\n<\/blockquote>\n\n\n\n Veuillez noter que l’outil de test est uniquement destin\u00e9 \u00e0 des fins de d\u00e9monstration et que certaines fonctions de s\u00e9curit\u00e9 avanc\u00e9es<\/strong> ne sont pas prises en charge pour le moment, notamment les demandes AuthNR sign\u00e9es<\/a> et les assertions SAML<\/a> crypt\u00e9es, qui sont des donn\u00e9es communiqu\u00e9es entre le SP et l’IdP concernant le statut d’autorisation de l’utilisateur (ce qui signifie que vous \u00eates un utilisateur l\u00e9gitime). Les d\u00e9tails concernant les attributs et les d\u00e9clarations d’attributs se trouvent par ailleurs dans l’outil de test.<\/p>\n\n\n\n Vous pouvez \u00e9galement souhaiter consigner toutes les authentifications SAML \u00e0 des fins de conformit\u00e9 si vous \u00eates dans un secteur r\u00e9glement\u00e9<\/strong> ou si vos analystes de s\u00e9curit\u00e9 et vos administrateurs informatiques suivent l’acc\u00e8s aux ressources. Des r\u00e9gimes de conformit\u00e9 sp\u00e9cifiques imposent la journalisation de l’acc\u00e8s \u00e0 des points d’extr\u00e9mit\u00e9 d\u00e9sign\u00e9s, tels que : La conformit\u00e9 PCI DSS pour les environnements de donn\u00e9es des titulaires de cartes (CDE) ; HIPAA et les informations de sant\u00e9 personnelles (PHI) ; et la vue large du GDPR sur les donn\u00e9es stock\u00e9es pour les r\u00e9sidents bas\u00e9s dans l’UE.<\/p>\n\n\n\n Le fournisseur de services de test SAML supprime les obstacles \u00e0 l’adoption du SSO et facilite la relation avec un IdP offrant un environnement bac \u00e0 sable adapt\u00e9 au calendrier de votre projet. Il est conseill\u00e9 d’examiner si un SP (application Web) fournit un support SAML SSO natif et gratuit avant de choisir ce fournisseur. Le risque et les d\u00e9penses li\u00e9s \u00e0 l’absence de SSO sont moins acceptables si :<\/p>\n\n\n\nQu’est-ce que l’authentification unique (SSO) ?<\/strong><\/h2>\n\n\n\n
\n
N’attendez pas : le SSO doit \u00eatre une priorit\u00e9 absolue<\/strong><\/h2>\n\n\n\n
Le fournisseur de services de test SAML et la s\u00e9lection des fournisseurs<\/strong><\/h2>\n\n\n\n
\n
Mise en route du fournisseur de services de test SAML<\/strong><\/h2>\n\n\n\n
SSO initi\u00e9 par l’IdP<\/strong><\/h3>\n\n\n\n
Les m\u00e9tadonn\u00e9es SAML et IdP :<\/strong><\/h4>\n\n\n\n
\n
SSO initi\u00e9 par le SP<\/strong><\/h3>\n\n\n\n
Utilisez les m\u00e9tadonn\u00e9es de votre IdP<\/strong><\/h4>\n\n\n\n
URL de test<\/strong><\/h4>\n\n\n\n
Fa\u00e7ons d’authentifier le SSO<\/strong><\/h2>\n\n\n\n
Attributs et personnalisations du SSO<\/strong><\/h2>\n\n\n\n
Messages de bienvenue SSO et autres personnalisations<\/strong><\/h3>\n\n\n\n
\n
Int\u00e9grit\u00e9 de l’utilisateur<\/strong><\/h3>\n\n\n\n
Conformit\u00e9 et conservation des donn\u00e9es pour le SSO<\/strong><\/h2>\n\n\n\n
Conclusion<\/strong><\/h2>\n\n\n\n