Mise à jour : 1er mars 2024
Contributeurs : Mark Scapicchio, Amber Forrest
Le Single Sign On, ou SSO, est un système d'authentification qui permet aux utilisateurs de se connecter une seule fois à l'aide d'un seul ensemble d'identifiants et d'accéder à plusieurs applications au cours de la même session.
Le Single Sign On simplifie l'authentification de l'utilisateur, améliore l'expérience de l'utilisateur et, lorsqu'elle est correctement mise en œuvre, renforce la sécurité. Il est souvent utilisé pour gérer l'authentification et sécuriser l'accès aux intranets et extranets des entreprises, aux portails des étudiants, aux services de cloud public et à d'autres environnements dans lesquels les utilisateurs doivent passer d'une application à l'autre pour effectuer leur travail. Il est également de plus en plus utilisé dans les sites web et les applications orientés clients, tels que les sites bancaires et de commerce électronique, pour combiner des applications de fournisseurs tiers dans des expériences utilisateur transparentes et ininterrompues.
L'indice X-Force Threat Intelligence Index offre de nouvelles perspectives sur les principales menaces afin de vous aider à vous préparer et à réagir plus rapidement aux cyberattaques, à l'extorsion, etc.
Demandez notre rapport sur le coût d’une fuite de données
Le Single Sign On repose sur une relation de confiance numérique entre les fournisseurs de services (applications, sites Web, services) et un fournisseur d’identité (IdP), ou solution SSO. La solution SSO fait souvent partie d’une solution plus large de gestion des identités et des accès (IAM) .
En général, l'authentification SSO fonctionne comme suit :
Un utilisateur se connecte à l'un des fournisseurs de services ou à un portail central (comme l'intranet d'une entreprise ou le portail d'un étudiant) à l'aide des identifiants de connexion SSO.
Lorsque l'utilisateur est authentifié avec succès, la solution SSO génère un jeton d'authentification de session contenant des informations spécifiques sur l'identité de l'utilisateur (nom d'utilisateur, adresse e-mail, etc.). Ce jeton est stocké dans le navigateur web de l'utilisateur ou dans le système SSO.
Lorsque l'utilisateur tente d'accéder à un autre fournisseur de services de confiance, l'application vérifie auprès du système SSO si l'utilisateur est déjà authentifié pour la session. Si c'est le cas, la solution SSO valide l'utilisateur en signant le jeton d'authentification avec un certificat numérique, et l'utilisateur se voit accorder l'accès à l'application. Dans le cas contraire, l'utilisateur est invité à saisir à nouveau ses identifiants de connexion.
Abonnez-vous aux actualités thématiques de sécurité
Le processus SSO décrit ci-dessus, qui consiste en une connexion unique et un ensemble d’identifiants utilisateur fournissant un accès à plusieurs applications associées, est parfois appelé SSO simple ou SSO pur. Les autres types de SSO incluent :
Le SSO adaptatif requiert un ensemble initial d'identifiants de connexion, mais demande des facteurs d'authentification supplémentaires ou une nouvelle connexion lorsque des risques supplémentaires apparaissent, par exemple lorsqu'un utilisateur se connecte à partir d'un nouvel appareil ou tente d'accéder à des données ou à des fonctionnalités particulièrement sensibles.
La gestion des identités fédérées, ou FIM, est un sur-ensemble du SSO. Alors que le SSO est basé sur une relation de confiance numérique entre les applications au sein du domaine d'une seule organisation, le FIM étend cette relation à des tiers de confiance, des fournisseurs et d'autres prestataires de services extérieurs à l'organisation. Par exemple, la FIM peut permettre à un employé connecté d'accéder à des applications web tierces (par exemple, Slack ou WebEx) sans connexion supplémentaire, ou avec une simple connexion par nom d'utilisateur.
La connexion sociale permet aux utilisateurs finaux de s'authentifier auprès des applications en utilisant les mêmes identifiants que ceux qu'ils utilisent pour s'authentifier auprès des sites de médias sociaux les plus populaires. Pour les fournisseurs d'applications tierces, la connexion sociale peut décourager les comportements indésirables (par exemple, les fausses connexions, l'abandon du panier d'achat) et fournir des informations précieuses pour l'amélioration de leurs applications.
Le SSO peut être mis en œuvre à l'aide de plusieurs protocoles et services d'authentification.
Security Assertion Markup Language, ou SAML, est le protocole standard ouvert le plus ancien pour l'échange de données d'authentification et d'autorisation chiffrées entre un fournisseur d'identité et plusieurs fournisseurs de services. Parce qu'il permet un meilleur contrôle de la sécurité que les autres protocoles, SAML est généralement utilisé pour mettre en œuvre le SSO au sein et entre les domaines d'application de l'entreprise ou de l'administration.
Open Authorization, ou OAuth, est un protocole standard ouvert qui échange des données d’autorisation entre les applications sans exposer le mot de passe de l’utilisateur. OAuth permet d’utiliser une connexion unique pour rationaliser les interactions entre les applications qui nécessiteraient généralement des connexions distinctes à chacune. Par exemple, OAuth permet à LinkedIn de rechercher de nouveaux membres potentiels dans vos contacts e-mail.
Autre protocole standard ouvert, l'OICD utilise des API REST et des jetons d'authentification JSON pour permettre à un site Web ou une application d'accorder l'accès aux utilisateurs en les authentifiant via un autre fournisseur de services.
Superposé à OAuth, OICD est principalement utilisé pour mettre en œuvre des connexions sociales à des applications tierces, des paniers d'achat, etc. Mise en œuvre plus légère, OAuth/OIDC est souvent associé à SAML pour la mise en œuvre du SSO dans les applications SaaS et les applications cloud, les applications mobiles et les appareils de l'Internet des objets (IoT).
Le protocole d'accès aux annuaires légers (LDAP) définit un annuaire pour le stockage et la mise à jour des identifiants des utilisateurs, ainsi qu'un processus d'authentification des utilisateurs par rapport à l'annuaire. Introduit en 1993, LDAP est toujours la solution d'annuaire d'authentification de choix pour de nombreuses organisations mettant en œuvre le SSO, car LDAP leur permet de fournir un contrôle granulaire sur l'accès à l'annuaire.
Active Directory Federation Services, ou ADFS, fonctionne sur Microsoft Windows Server pour permettre la gestion fédérée des identités - y compris le Single Sign On - avec des applications et des services sur site et hors site. ADFS utilise les services de domaine Active Directory (ADDS) comme fournisseur d'identité.
Le SSO permet aux utilisateurs d'économiser du temps et de l'énergie. Par exemple : au lieu de se connecter à plusieurs applications plusieurs fois par jour, les utilisateurs finaux de l'entreprise peuvent, grâce au SSO, se connecter à l'intranet de l'entreprise une seule fois pour accéder toute la journée à toutes les applications dont ils ont besoin.
Mais en réduisant considérablement le nombre de mots de passe que les utilisateurs doivent retenir et le nombre de comptes d'utilisateurs que les administrateurs doivent gérer, le SSO peut offrir un certain nombre d'autres avantages.
Les utilisateurs qui ont beaucoup de mots de passe à gérer prennent souvent la mauvaise habitude, qui est très risquée, d'utiliser les mêmes mots de passe courts et faibles - ou de légères variations de ceux-ci - pour chaque application. Un pirate informatique qui déchiffre l’un de ces mots de passe peut facilement accéder à plusieurs applications. Le SSO permet aux utilisateurs de consolider plusieurs mots de passe courts et faibles en un seul mot de passe long et fort, plus facile à retenir pour les utilisateurs et beaucoup plus difficile à déchiffrer pour les pirates.
Selon l'IBM X-Force Threat Intelligence Index 2024, l'année 2023 a vu une augmentation de 71 % d'une année sur l'autre des cyberattaques utilisant des identifiants volés ou compromis. Le SSO peut réduire ou éliminer le besoin de password managers, de mots de passe stockés dans des feuilles de calcul, de mots de passe écrits sur des notes autocollantes et d'autres aide-mémoire, qui constituent autant de cibles pour les pirates ou rendent les mots de passe plus faciles à voler ou à découvrir par hasard par des personnes mal intentionnées.
Selon l'analyste Gartner, 20 à 50 % des appels au centre d'assistance informatique sont liés à des mots de passe oubliés ou à des réinitialisations de mots de passe. La plupart des solutions SSO permettent aux utilisateurs de réinitialiser eux-mêmes leurs mots de passe, avec l'aide du centre d'assistance.
Le SSO permet aux administrateurs d'exercer un contrôle plus simple et plus centralisé sur le provisionnement des comptes et les autorisations d'accès. Lorsqu'un utilisateur quitte l'organisation, les administrateurs peuvent supprimer les autorisations et décommissionner le compte utilisateur en moins d'étapes.
Le SSO peut faciliter le respect des exigences réglementaires en matière de protection des informations d'identité personnelle (PII) et de contrôle d'accès aux données, ainsi que des exigences spécifiques de certaines réglementations, comme l'HIPAA, concernant les délais d'expiration des sessions.
Le principal risque du SSO est que si les identifiants d'un utilisateur sont compromis, ils peuvent permettre à un pirate d'accéder à l'ensemble ou à la plupart des applications et des ressources du réseau. Cependant, le fait d'obliger les utilisateurs à créer des mots de passe longs et complexes, ainsi qu'à les chiffrer et à les protéger avec soin, quel que soit l'endroit où ils sont stockés, contribue grandement à prévenir ce scénario catastrophe.
En outre, la plupart des experts en sécurité recommandent une authentification à deux facteurs (2FA) ou une authentification multifacteur (MFA) dans le cadre de la mise en œuvre d'un SSO. La 2FA ou la MFA exigent que les utilisateurs fournissent au moins un facteur d'authentification en plus du mot de passe - par exemple, un code envoyé à un téléphone mobile, une empreinte digitale, une carte d'identité. Parce que ces identifiants supplémentaires sont ceux que les pirates ne peuvent pas facilement voler ou usurper, la MFA peut réduire considérablement les risques liés à la compromission des identifiants dans le SSO.
Pour sélectionner les utilisateurs qui doivent avoir accès aux données et aux applications de votre organisation, sur site ou dans le cloud, ajoutez un contexte, une intelligence et une sécurité approfondis à vos décisions.
Centralisez le contrôle des accès pour les applications cloud et sur site.
Allez au-delà de l’authentification de base avec des options sans mot de passe ou multi-facteur.
Le Rapport sur le coût d'une violation de données aide à se préparer aux violations en comprenant leurs causes et les facteurs qui augmentent ou réduisent leurs coûts.
L'IAM est la discipline de cybersécurité qui traite de la manière dont les utilisateurs accèdent aux ressources numériques et de ce qu'ils peuvent faire avec ces ressources.
L'authentification multifacteur exige des utilisateurs qu'ils fournissent au moins deux éléments de preuve, en plus de leur nom d'utilisateur, pour prouver leur identité.