L’authentification unique (SSO - Single-Sign On) est une solution d'identité qui permet à plusieurs applications d'utiliser la même session d'authentification, évitant ainsi la saisie répétitive des données d'identification. Les implémentations de l’authentification unique sont souvent adoptées par les entreprises dans le cadre de leur stratégie de sécurisation des accès aux ressources importantes. Avec l'avènement du cloud computing, ou informatique dématérialisée, et l'essor du Software-as-a-Service (SaaS), les entreprises du monde entier se concentrent de plus en plus sur les stratégies de gestion des accès qui peuvent améliorer à la fois la sécurité et l'expérience de l'utilisateur. La mise en œuvre de l’authentification unique peut en effet répondre à ces deux aspects.

Du point de vue de la sécurité, l’authentification unique offre divers avantages, mais surtout il réduit à une seule information d'identification le nombre de données d'identification requises pour se connecter à plusieurs services, avec par conséquent un nombre réduit d'informations d'identification exposées au risque de vol ou de perte. En outre, l’authentification multi-facteur (MFA), ou l'authentification à deux facteurs (2FA), est plus susceptible d'être appliquée pour protéger ce seul et puissant justificatif d'identité.

Du point de vue de l'utilisateur final, un système de fournisseur d'identifiants (IdP) capable de prendre en charge l’authentification unique améliore l'expérience de l'utilisateur, car elle réduit considérablement le temps passé à saisir des informations d'identification. De plus, l’authentification unique élimine l’obligation de mémoriser des informations pour accéder à des dizaines de comptes.

Un effet secondaire bénéfique de l'adoption des solutions d’authentification unique est la diminution du nombre d'appels au service d'assistance liés à la réinitialisation des mots de passe.

La mise en œuvre de l’authentification unique consiste généralement à définir un service central auquel les applications font appel chaque fois qu’un utilisateur se connecte. Dans cette approche, si un utilisateur non authentifié demande une application qui requiert des informations d'identité, cette application réoriente l'utilisateur vers le service central. Sur ce serveur, l'utilisateur s'authentifie et est redirigé vers l'application d'origine avec les informations d'identité. Il peut alors continuer et atteindre ses objectifs initiaux lorsque la demande d'authentification a été déclenchée.

Au bout d'un certain temps, si ce même utilisateur passe à une autre application qui nécessite des informations d'identité et qui s'appuie sur le même service central pour effectuer l'authentification de l'utilisateur, la deuxième application peut exploiter la session que l'utilisateur a initiée en se connectant à la première application.

Le cas de Google et de ses différents services est un bon exemple qui permet d'illustrer le fonctionnement de l’authentification unique. Par exemple, lorsque vous essayez d'accéder à Gmail sans être authentifié, Google vous redirige vers un service central hébergé sur accounts.google.com. Vous y trouvez alors un formulaire de connexion où vous devez saisir vos informations d'identification. Si le processus d'authentification est réussi, Google vous redirige vers Gmail, où vous accédez à votre compte de messagerie. Ensuite, après vous être authentifié par le biais de ce service central, si vous allez sur un autre service (comme Youtube, par exemple), vous constaterez que vous êtes automatiquement connecté.

Le schéma suivant donne plus de détails sur le fonctionnement du processus d'authentification unique.

Supposons que l'utilisateur souhaite accéder au domaine1.com, en naviguant sur ce domaine, il est redirigé vers le serveur d'authentification, domain3.com, où il s'authentifie. Une fois l'authentification réussie, domaine3 crée un cookie de session qui sert de trace au processus d’authentification unique. Il redirige ensuite le navigateur vers domaine1 avec un artefact que domaine1.com peut échanger contre un jeton qui sert à prouver l'identité de l'utilisateur lors d'un accès ultérieur aux services de domain1.

Lorsque l'utilisateur (dans la même session) accède à domaine2.com, domaine2 redirige vers domaine3 pour l'authentification. Cependant, comme domaine3 dispose d'un enregistrement indiquant que l'utilisateur a une session de connexion (via le cookie), il ne demande pas à l'utilisateur de se connecter de manière interactive, mais redirige le navigateur vers domaine2.com avec un artefact d'authentification approprié, comme précédemment.

Notez que la période de validité de la session d’authentification unique est déterminée par le serveur d'authentification (domaine3) et peut exister aussi longtemps que la session du navigateur, ou pour une période spécifique, de quelques heures à plusieurs semaines, en fonction de la politique de sécurité et des exigences de l'expérience utilisateur.

C'est l'essence même de l’authentification unique, comme chez Google et d'autres entreprises. En général, le protocole entre le serveur d'authentification et les applications client sera SAML 2.0, OpenID Connect, Kerberos ou tout autre protocole d'authentification prenant en charge l’authentification unique.

Comme pour de nombreuses autres fonctions d'authentification et d'autorisation, il est extrêmement facile d'utiliser Auth0 pour mettre en œuvre l’authentification unique. Si vous utilisez déjà Auth0 pour sécuriser vos applications, l’authentification unique est déjà à votre disposition automatiquement. Par exemple, si deux de vos applications ou plus utilisent le même compte Auth0, vous remarquerez que les utilisateurs qui se connectent à l'une d'elles seront connectés à l'autre de manière transparente. Vous n'avez rien à faire de particulier sur ces applications pour profiter de la session d’authentification unique.

Un autre aspect utile de l'utilisation d'Auth0 pour activer la signature unique dans vos applications est de disposer d'un point de contrôle unique sur l'accès aux ressources, ce qui réduit les demandes de ressources informatiques.

Si vous souhaitez en savoir plus sur Auth0, sur la façon dont il vous aide à mettre en œuvre la signature unique et sur la façon de sécuriser vos applications avec lui, vous pouvez vous référer aux documents.

Poursuivez la lecture de notre page Introduction à l'IAM pour explorer d'autres sujets relatifs à la gestion des identités et des accès.