Contrôle d’accès & Single Sign-On : une approche nécessairement globale

Contrôle d’accès & Single Sign-On : une approche nécessairement globale
Par Olivier Morel, Directeur Avant-Vente Ilex International 

Les enjeux à l’origine d’un projet de Single Sign-On (authentification unique, ou «SSO») sont très variés et diffèrent selon les objectifs, priorités et investissements des entreprises. A chaque problématique sa solution de SSO : eSSO, Web Access Management, Fédération d’identité, mobile SSO,… Ainsi, maintenir, exploiter, superviser, auditer plusieurs solutions différentes, qui adressent pourtant des problématiques similaires, pour des usages différents est monnaie courante au sein des entreprises.  
Et s’il était possible d’opter pour une seule et même solution, capable de couvrir chacune des problématiques de SSO individuellement, autorisant ainsi l’entreprise à investir à son rythme, mais permettant également une couverture globale ?
Panorama des solutions de SSO

L’Enterprise SSO ou eSSO : objectif ‘confort utilisateur’  
Le eSSO est généralement mis en œuvre en interne dans l’entreprise à des fins de confort utilisateur. Il nécessite le déploiement d’un (ou plusieurs) composant(s) sur les postes de travail reliés au système d’information. Techniquement, il s’agit d’injecter, à la place des utilisateurs, des accréditations secondaires (couples identifiant/mot de passe des utilisateurs pour les applications visées) dans des fenêtres applicatives qui ont été au préalable enrôlées. L’avantage de cette catégorie de SSO est de pouvoir couvrir facilement tous types d’applications (client lourd, web, mainframe…). En revanche, l’inconvénient est qu’il faut maîtriser tous les postes de travail sur lesquels on souhaite déployer ce SSO.
Le Web Access Management (ou WAM, ou Web SSO) : objectif ‘contrôle d’accès’   
Le WAM s'inscrit dans des architectures 100% web, de type portails extranet/intranet notamment. Il couvre uniquement des applications web, mais permet en général de garantir plus de sécurité que le eSSO, via la mise en place de règles de contrôle d'accès avancées. Contrairement au eSSO, il n'est pas intrusif sur les postes de travail. En revanche il peut l'être parfois sur les applications selon les architectures choisies. 

La Fédération d'identité : objectif ‘ouverture sécurisée’

Dans une approche purement technique, la fédération d'identité peut être considérée comme un moyen d’opérer une action de Web SSO en utilisant les protocoles standards du marché (SAMLv2, OAuth2, OpenID Connect, WS-Federation...). Dans une approche « business » orientée métier, elle permet d'échanger en toute sécurité des informations d'authentification et d'habilitations entre entités juridiques différentes.
Ainsi, la fédération offre, aux utilisateurs de ces entités, une expérience d'authentification unique et sécurisée entre domaines web différents. De plus, elle permet bien souvent de s’affranchir de la gestion des identités de ses partenaires ou d’aménager des infrastructures de gestion d’identités par entité opérationnelle au sein d’une organisation complexe.
Le Mobile SSO : objectif ‘nouveaux usages’
Le Mobile SSO permet de fournir des fonctionnalités de SSO (eSSO, WAM, Fédération) sur les périphériques mobiles (smartphones, tablettes), et donc de sécuriser les accès aux applications du système d'information depuis ces périphériques. Ce marché est encore assez récent car il est lié à l'explosion de la mobilité. Pour le moment, les entreprises tablent principalement sur des « développements spécifiques », fautes de solutions adaptées sur le marché.
Le risque majeur : une solution de SSO par cas d’usage
Fort de ce panorama des différentes solutions de SSO, prenons l’exemple d’un système d’information lambda pour lequel on souhaite déployer des fonctions d’authentification forte, de Single Sign-On et d’audit des accès des utilisateurs aux applications de ce SI. Les motivations peuvent être nombreuses, variées et découlent notamment des enjeux de confort utilisateur ou de sécurité visés pour le SI.
Dans ce SI, il est fort probable de retrouver : 
  • des applications internes ou externes (en SaaS, Cloud,…), maîtrisées ou non, de différentes technologies (web, client lourd, virtualisées, mainframe..) et plus ou moins critiques,
  • des utilisateurs internes ou externes, travaillant sur un PC, maîtrisé ou non, ou sur d’autres types de supports (clients légers, périphériques mobiles,…), certains ayant besoin d’authentification forte, d’autres non, etc. 
On conçoit donc qu’à plus ou moins long terme, il y aura immanquablement des besoins de fonctionnalités de eSSO, de Web Access Management, de Fédération d’identité et de Mobile SSO, soit de toutes les catégories de SSO décrites précédemment, sur des périmètres plus ou moins différents, mais pour le même système d’information. 
Evidemment le déploiement de ces fonctionnalités se fera par étape et potentiellement sur plusieurs années, selon les priorités de l’entreprise. Mais le fait est qu’au bout d’un certain temps, on se retrouvera dans la situation suivante - et cela est malheureusement le cas de très nombreuses organisations : 
  • une solution de eSSO déployée en interne sur les postes des utilisateurs du SI, afin de leur apporter le confort d’une authentification unique et de les rendre autonomes sur les opérations de réinitialisation de mots de passe,
  • une solution de Web Access Management protégeant des applications web, déployée dans une logique d’intranet et/ou d’extranet,
  • une solution de fédération d’identité dédiée à des échanges B2B avec ses partenaires, ou utilisée pour améliorer l’expérience utilisateur pour les accès aux applications externes, de type O365, GoogleApps, ou SalesForce notamment,
  •  une solution de Mobile SSO pour sécuriser les accès au SI depuis des périphériques mobiles et maîtriser ainsi les effets du BYOD.
Chacune de ces solutions reposera sur un progiciel du marché, une brique open source ou une solution maison réalisée en développement spécifique. Mais au final, cet exemple, loin d’être irréel, démontre que l’on devra administrer, maintenir, exploiter, superviser, auditer… 4 solutions différentes qui adressent, certes, des usages différents, mais pourtant des besoins similaires.
Le Global SSO : SSO nouvelle génération
Et pourtant,  il est possible d’éviter une telle situation.
Avec une seule et même solution adressant tous ces cas d’usages, il est possible d’avoir une seule infrastructure commune à exploiter et à superviser, plus qu’une seule interface d’administration pour configurer tous les usages SSO, un seul point d’audit fournissant la traçabilité de l’ensemble des accès de tous les utilisateurs à toutes les applications. Le graal pour la DSI : une vision 360° de tous les accès au SI... Cette solution existe, c’est le Global SSO.
Avant de se lancer dans un projet de SSO, quel qu’il soit, il faut penser « mutualisation » et « urbanisation du SI ». Une solution de Global SSO peut à la fois couvrir vos besoins à court terme - et vous n’investirez que sur ce dont vous aurez besoin - mais également vous laisser la capacité d’adresser vos autres besoins en matière de SSO à moyen et long termes, le tout via une démarche évolutive et itérative.

PrécédentAccueilSuivantPartager