christianfelicite
commented
3 years ago Open christianfelicite opened 3 years ago
christianfelicite
commented
3 years ago christianfelicite
commented
3 years ago christianfelicite
commented
3 years ago https://www.acipia.fr/infrastructure/securite/saml-sso-authentification-deleguee/
L’authentification unique (SSO)
Le « Single Sign-on » (SSO) désigne les technologies qui permettent aux utilisateurs de mutualiser la phase d’authentification entre plusieurs services. Concrètement il s’agit de ne solliciter l’authentification de l’utilisateur qu’une seule fois alors que ce dernier utilise différentes applications. A titre d’exemple on peut penser à l’authentification Google qui est partagée entre les différents services Gmail, Youtube, Google Apps etc.
Dans ce mode de fonctionnement Google est le fournisseur d’identité (IdP) pour ses propres services. Ces services sont dénommés « fournisseur de service » (SP). La délégation de validation d’identité
La délégation de la validation de l’identité de l’utilisateur consiste à utiliser un compte valable sur X pour accéder au service Y. L’exemple courant est ici le compte Facebook qui permet désormais de se connecter à différents services totalement indépendants de Facebook. Ces services font le choix de faire confiance à Facebook pour la validation de l’identité d’un utilisateur.
Dans ce mode de fonctionnement Facebook est le fournisseur d’identité (IdP) tandis que le service tiers est le fournisseur de service (SP). Mode mixte
Le SSO mono-entreprise comme celui de Google existe depuis longtemps. Récemment des normes d’échange ont été standardisées afin de permettre la communication entre IdP et SP. Il devient alors possible d’utiliser en parallèle plusieurs IdP et plusieurs SP. Les protocoles les plus courants sont SAML et OpenID. Ces deux protocoles sont portés par des consortiums différents. Bien qu’incompatible entre eux, ils implémentent globalement les mêmes mécanismes.
christianfelicite
commented
3 years ago christianfelicite
commented
3 years ago christianfelicite
commented
3 years ago https://www.acipia.fr/infrastructure/securite/saml-sso-authentification-deleguee/
L’AUTHENTIFICATION UNIQUE (SSO) Le « Single Sign-on » (SSO) désigne les technologies qui permettent aux utilisateurs de mutualiser la phase d’authentification entre plusieurs services. Concrètement il s’agit de ne solliciter l’authentification de l’utilisateur qu’une seule fois alors que ce dernier utilise différentes applications. A titre d’exemple on peut penser à l’authentification Google qui est partagée entre les différents services Gmail, Youtube, Google Apps etc.
Dans ce mode de fonctionnement Google est le fournisseur d’identité (IdP) pour ses propres services. Ces services sont dénommés « fournisseur de service » (SP).
LA DÉLÉGATION DE VALIDATION D’IDENTITÉ La délégation de la validation de l’identité de l’utilisateur consiste à utiliser un compte valable sur X pour accéder au service Y. L’exemple courant est ici le compte Facebook qui permet désormais de se connecter à différents services totalement indépendants de Facebook. Ces services font le choix de faire confiance à Facebook pour la validation de l’identité d’un utilisateur.
Dans ce mode de fonctionnement Facebook est le fournisseur d’identité (IdP) tandis que le service tiers est le fournisseur de service (SP).
MODE MIXTE Le SSO mono-entreprise comme celui de Google existe depuis longtemps. Récemment des normes d’échange ont été standardisées afin de permettre la communication entre IdP et SP. Il devient alors possible d’utiliser en parallèle plusieurs IdP et plusieurs SP. Les protocoles les plus courants sont SAML et OpenID. Ces deux protocoles sont portés par des consortiums différents. Bien qu’incompatible entre eux, ils implémentent globalement les mêmes mécanismes.
christianfelicite
commented
3 years ago https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/configure-saml-single-sign-on
Using Azure AD as your Identity Provider (IdP) and configuring single sign-on (SSO)
https://www.evidian.com/fr/produits/evidian-enterprise-sso-authentification-unique/qu-est-ce-que-l-authentification-unique/
Qu'est ce que l'authentification unique ou en anglais SSO (Single Sign-On) ?
L'authentification unique ou Single Sign-On (SSO) est la fonction qui permet aux utilisateurs de s'authentifier une seule fois pour toute la durée d'une session, indépendamment du nombre d'applications qui nécessitent une authentification
Les trois raisons pour une entreprise d’investir dans un système d'authentification unique
Augmenter la sécurité et obéir aux contraintes réglementaires
En mettant un point de passage obligé entre un utilisateur et ses applications, une organisation peut contrôler les accès de manière efficace. De plus, ces accès et les opérations d’administration sont historisés, ce qui facilite les audits. Des rapports périodiques peuvent être mis à disposition des utilisateurs et responsables de la sécurité. Tout cela facilite la conformité à des exigences de confidentialité, d’intégrité et de disponibilité.
Réduire les coûts de fonctionnement de l’informatique
En multipliant les mots de passe, souvent pour d’excellentes raisons, la productivité de l’utilisateur baisse et la qualité du travail s’en ressent. Mais ces « coûts cachés » ont aussi une face visible : jusqu’à 30% des appels au help desk résultent de mots de passe perdus. Cette charge sera considérablement allégée par un système d'authentification unique, avec un retour sur investissement facile à estimer. D’autres études montrent que la mise en place d’un SSO permet de gagner jusqu’à 24 heures de travail par an et par utilisateur temps plein.
Ouvrir sans risque l’informatique au monde extérieur
Cette demande est de plus en plus fréquente : l’accès au Web est devenu aisé, mais les employés continuent à avoir des difficultés à accéder de l’extérieur aux applications intranet.
Médecins qui doivent consulter des dossiers médicaux, ingénieurs sur un chantier, commerciaux dans leurs hôtels, banques qui pour plusieurs activités ont l’obligation de continuité d’activité : un système d'autentification unique permet un accès transparent et sécurisé aux applications Web et serveurs de présentation, même de l’extérieur.
Les trois architectures d'un système d'authenfication unique
Serveur de SSO (== Idp ? #421)
Les informations sont stockées sur un serveur, par exemple Novell ou Unix, qu’il faut généralement dédier à cette tâche. Le client sur le PC interroge donc le serveur quand c’est nécessaire. Ce serveur est souvent répliqué en plusieurs instances pour une plus grande disponibilité et capacité, même si des mécanismes de cache sur le PC permettent de pallier à une indisponibilité temporaire. Des coûts de démarrage et d’opération doivent donc être pris en compte : serveurs, installation du logiciel, synchronisations périodiques de sa base de compte utilisateurs avec l’annuaire en place dans l’entreprise. Dans une entreprise distribuée, le nombre de ces serveurs peut être important, les synchronisations de comptes complexes présentant un risque de cohérence pour la gestion des droits d’accès.
« Appliance » de SSO
Il s’agit d’une variation de la solution précédente. Matériels et logiciels sont livrés ensemble. Les coûts de mise en place du logiciel peuvent paraître réduits. Par contre, il n’est pas possible d’installer le logiciel sur un serveur existant, ce qui peut augmenter les coûts de mise en place. Enfin, il est souvent impossible d’ajouter mémoire et disque sur une « appliance », contrairement à un serveur. La solution « appliance » a une capacité limitée, elle nécessite plusieurs instances d’« appliance » pour chaque environnement (production, intégration, site de secours), elle introduit un nouveau système d’exploitation, un nouvel annuaire à synchroniser. Comme ci-dessus, les synchronisations de comptes complexes présentent un risque de cohérence pour la gestion des droits d’accès. Pour ce qui est de la continuité des accès, ce type de solution peut présenter un risque de SPOF (Single Point Of Failure).
Annuaire de l’entreprise
Les informations de SSO sont tout simplement stockées, sous forme chiffrée, dans l’annuaire qui équipe déjà la plupart des entreprises, garantissant un haut niveau de confidentialité avec un chiffrement non réversible de type AES256. Par exemple : l’annuaire Microsoft Active Directory où sont déclarés les utilisateurs et par lequel ils accèdent à leur session Windows, ou bien son instance applicative Microsoft AD-LDS dans lequel peuvent être stockées des données d’applications associées aux utilisateurs déclarés dans l’Active Directory. Il n’y a donc aucun serveur ni appliance à installer. Vos stations sont déjà configurées pour accéder aux informations, puisqu’elles accèdent déjà à l’annuaire.