Comment l’authentification unique fonctionne-t-elle?

Qu'est-ce que l'authentification unique?

L'authentification unique (SSO) est un système permettant aux utilisateurs de s'authentifier auprès de différents sites Web et applications en se connectant une seule fois avec un seul jeu d'identifiants (nom d'utilisateur et mot de passe). Avec l'authentification unique, l'application ou le site Web auquel l'utilisateur tente d'accéder utilise une tierce partie de confiance pour vérifier que chaque utilisateur correspond bien à la personne qu'il affirme être.

Comment l'authentification fonctionne-t-elle sans SSO?

Sans authentification unique, chaque site Web gère sa propre base de données d'utilisateurs et d'identifiants de connexion. Voici ce qui se passe lorsque vous tentez de vous connecter à une application ou un site Web:

1. Le site Web vérifie d'abord si vous avez déjà été authentifié. Si c'est le cas, il vous autorise à accéder au site.
2. Dans le cas contraire, il vous invite à vous connecter et vérifie que le nom d'utilisateur et le mot de passe que vous avez saisis correspondent aux informations contenues dans sa base de données d'utilisateurs.
3. Après la connexion, le site transmet les données de vérification d'authentification à mesure que vous vous déplacez sur le site afin de vérifier que vous êtes authentifié chaque fois que vous accédez à une nouvelle page.

Les données de vérification d'authentification sont généralement transmises sous forme de cookies avec les données de la session ou de jetons, qui ne suivent pas la session et sont plus rapides à traiter.

L'utilisateur effectue une demande d'accès

L'utilisateur se voit octroyer l'accès,
puis demande à accéder à un autre site

Comment la SSO fonctionne-t-elle?

L'authentification unique est basée sur une relation de confiance entre les domaines (sites Web). Avec l'authentification unique, voici ce qui se passe lorsque vous tentez de vous connecter à une application ou un site Web:

1. Le site Web vérifie d'abord si vous avez déjà été authentifié par la solution SSO, et si c'est le cas, il vous autorise à accéder au site.
2. Dans le cas contraire, il vous redirige vers la solution SSO afin de vous connecter.
3. Vous saisissez le nom d'utilisateur/mot de passe que vous utilisez pour accéder aux applications de votre entreprise.
4. La solution SSO demande au fournisseur d'identité ou au système d'authentification qu'utilise votre entreprise de vous authentifier. Le fournisseur d'identité ou le système d'authentification vérifie votre identité et notifie la solution SSO.
5. La solution SSO transmet les données d'authentification au site Web et vous redirige vers ce dernier.
6. Après la connexion, le site transmet les données de vérification d'authentification à mesure que vous vous déplacez sur le site afin de vérifier que vous êtes authentifié chaque fois que vous accédez à une nouvelle page. Lorsque vous utilisez une solution SSO, les données de vérification d'authentification prennent la forme de jetons.

L'utilisateur effectue une demande d'accès

Le site Web le redirige vers le portail Web SSO afin qu'il se connecte. L'utilisateur se connecte avec une combinaison nom d'utilisateur/mot de passe unique.

Le portail Web SSO vérifie l'identité de l'utilisateur auprès d'un fournisseur d'identité tel qu'Active Directory.

L'utilisateur se voit octroyer l'accès,
puis demande à accéder à un autre site

Lorsque l'utilisateur tente d'accéder à un autre site Web, ce dernier contacte la solution SSO. Étant donné que l'utilisateur a été authentifié, seule l'identité de l'utilisateur pour l'accès au nouveau site Web est vérifiée et aucune nouvelle connexion n'est nécessaire.

Que doit offrir un véritable système SSO?

Il est important de comprendre la différence entre une authentification unique et le stockage de mots de passe, parfois également appelé « SSO ». Avec une solution de stockage de mots de passe, vous disposez d'une paire nom d'utilisateur/mot de passe unique, mais vous devez saisir vos identifiants chaque fois que vous accédez à un nouveau site Web ou à une nouvelle application.

Avec une solution SSO, une fois connecté via celle-ci, vous pouvez accéder à l'ensemble des applications et des sites Web approuvés par l'entreprise sans devoir vous reconnecter. Il s'agit notamment des applications Cloud et locales souvent accessibles via un portail SSO (également appelé portail de connexion). L'authentification unique utilise un concept appelé la fédération pour proposer une SSO fédérée.

En quoi consiste la SSO fédérée?

Les solutions SSO qui utilisent la fédération proposent une véritable authentification unique en tirant parti du fournisseur d'identité (IP en anglais) de l'entreprise tel qu'Active Directory (AD) ou Azure Active Directory (Azure AD). Ce fournisseur d'identité fait généralement office de serveur d'authentification en enregistrant l'identité et les informations de l'utilisateur telles que le nom d'utilisateur, le mot de passe, les domaines auxquels il peut accéder, voire les activités qu'il peut effectuer sur chaque site ou application. (Le processus qui consiste à vérifier quelles activités l'utilisateur peut effectuer est appelé autorisation. Par exemple, un utilisateur peut être autorisé à accéder aux rapports Salesforce, mais pas à modifier les fiches clients.)

Avec une vraie SSO, la solution SSO est intégrée au fournisseur d'identité ou emploie un ou plusieurs fournisseurs d'identité pour authentifier l'utilisateur.

Les demandes et les informations d'authentification sont transmises au moyen de protocoles sécurisés standard tels que SAML ou OAuth. Les sites Web qui demandent une authentification ont une relation basée sur la confiance avec la solution SSO, et il existe des relations de confiance entre la solution SSO et les fournisseurs d'identité. Une relation de confiance signifie qu'un domaine fait confiance aux informations d'un autre domaine concernant les identités, les appareils et les privilèges d'accès des utilisateurs.