SSO - Single Sign On

Conclusion

Les Gains et les limites d´un SSO

Les gains

•  Repenser la sécurité du système d´information. La mise en place d´une solution SSO (authentification unique) est l´occasion de repenser la sécurité globale au niveau du réseau de l´entreprise où cohabite souvent des applications hébergées sur des plates-formes hétérogènes (Windows, Linux, MacOS), de lancer un vrai projet de sécurité au niveau de l´entreprise.
•  Utilisateurs soulagés. Les utilisateurs gagnent en simplification d´accès à leur application. Il n´y a plus qu´une seule authentification par session de travail, la navigation entre applications ne nécessite plus de ré-authentification. De plus si un portail d´accès multi-applications est mis en place, ils gagnent en ergonomie et en facilitation de basculement d´une application à une autre. Et surtout l´utilisateur ne possède qu´un seul mot de passe.
•  Contrôle des accès. Du point de vue de la sécurité, le fait de fédérer des applications autour d´une architecture web unique permet de profiter d´une sécurité accrue grâce au chiffrement SSL. Le but est de prévenir les fraudes avec une meilleure réactivité. Une journalisation globale (fichier logue) des accès peut être mise en place.
•  Mutualisation. La gestion unifiée et centralisée des habilitations à l´ensemble des applications va permettre de mutualiser les accès (facilité de restauration des mots de passe, etc.) et de faire des économies (coûts et délais) en terme de maintenance et d´intégration.
•  Simplification du modèle de droits de l´application. La gestion des habilitations aux applications est externalisée (modification des rôles de l´utilisateur dans une application de gestion des droits d´accès) de même que l´authentification (pas de page de connexion au niveau de l´application).

Les limites

•  Intégration complète difficile dans le SI. Les inconvénients de la mise en place d´une telle solution sont avant tout les inconvénients d´une mise en conformité du SI de l´entreprise
•  Coût et lourdeur. L´affiliation d´une application à un système de SSO a un coût non négligeable, en terme de budget mais également au niveau des accès serveur.
•  Risques liés à la centralisation des accès réseaux. L´authentification unique, si elle apporte un confort à l´utilisateur et permet un traçage aisé des accès utilisateur, fragilise aussi le réseau. En effet, l´usurpation du mot de passe utilisateur permet l´accès à la personne qui l´utilise à l´ensemble des applications de l´utilisateur. Un autre risque est également que si le serveur d´authentification tombe, l´application de SSO tombe. Dans cette optique, un serveur de secours doit être mis en place.

Conclusion

Le Single Sign On est un élément fédérateur pour les applications du SI. C´est avant tout un système d´administration. En terme de sécurité, le code d´accès unique pour toutes les plates-formes peut fragiliser les accès aux applications (un mot de passe donne accès à l´ensemble des applications de l´utilisateur). Un effort de sécurisation du réseau doit donc être fait en parallèle et être concentré au niveau du serveur d´authentification. Un système d´authentification unique doit s´intégrer dans une politique de sécurité cohérente tout en allégeant l´effort d´écriture des applications.

La mise en place d´un système de SSO peut être simplifié suivant l´ossature existante du réseau. Le service SSO utilise généralement un annuaire. Les entreprises ayant déjà investi dans la mise en place d´annuaires LDAP ont un effort moindre à fournir pour déployer un service de SSO. L´annuaire LDAP d´établissement permet des gains d´efficacité importants sur les tâches d´administration. Le choix du logiciel va se faire principalement sur la possibilité d´une bonne intégration du service SSO dans le SI de l´entreprise.

Le SSO apporte un confort non négligeable à l´utilisateur et permet au système informatique de tracer facilement ses accès. Cependant, si cette solution apparaît simple à première vue, la mise en place d´un système de SSO peut s´avérer fastidieuse :

• capacité des différents serveurs d´authentification à surveiller,
• nombre plus important d´intervenants pour gérer une seule application (l´application du SI est dépendante des accès du système de SSO),
• coût supplémentaire lié à l´affiliation des applications du SI,
• les tests ne se font qu´une fois que l´application développée et livré.

De même, l´accès centralisé s´il comporte des avantages (mutualisation, homogénéisation des accès utilisateur) peut également comporter quelques inconvénients quand le serveur d´authentification tombe, l´accès aux applications disparaît etc.

Le système de SSO a ainsi tendance à complexifier la maintenance et la gestion des applications. Il doit avant tout être utilisé pour les applications sensibles nécessitant un contrôle d´accès surveillé.

Glossaire

Cookies :Les cookies sont des lignes particulières de l´entête HTTP qui permettent de véhiculer des informations (nom, valeur, date de validité, domaine etc.) entre client et serveur.

HTTP : Le protocole de transfert hypertexte (HyperText Transfer Protocol) est le principal canal de diffusion de données sur Internet, principalement des fichiers HTML (mais également de tous types de fichiers). Il dispose de nombreuses méthodes lui permettant théoriquement d´accomplir de nombreuses actions sur le serveur. En pratique, tous les serveurs ne les implémentent pas, ce qui limite l´usage de HTTP à quelques méthodes-clefs. Ces méthodes sont GET, POST, PUT, DELETE, HEAD, TRACE, OPTIONS et CONNECT. Sa variante sécurisée est HTTPS, qui utilise les protocoles SSL ou TLS pour chiffrer la communication ou vérifier l´identité du site.

HTTPS : HTTP + SSL

LDAP :Lightweight Directory Access Protocol, est le protocole d´annuaire sur TCP/IP. Les annuaires permettent de partager des bases d´informations sur le réseau interne ou externe. Ces bases peuvent contenir toute sorte d´information que ce soit des coordonnées de personnes ou des données systèmes.

SSL :Secure Socket Layer. Protocole de sécurité normalisé qui permet de sécuriser la connexion entre un navigateur et un serveur Web. SSL permet notamment d´assurer la confidentialité et l´intégrité des données transmises sur le réseau, voire, suivant la configuration, de réaliser une authentification mutuelle. SSL nécessite des certificats. SSL est implémenté dans la plupart des navigateurs du marché (ceux de Microsoft et Netscape en particulier), ainsi que dans la plupart des serveurs Web du marché comme Apache, ou Microsoft IIS.

Bibliographie

Site Web

• http://avirubin.com/passport.html
• http://www.01net.com/article/256916.html
• http://www.cru.fr/sso/jres-sso/
• http://www.intranetjournal.com/articles/200210/pij_10_14_02a.html
• http://searchsecurity.techtarget.com/tip/1,289483,sid14_gci1186252,00.html

Accueil

• Accueil
• Introduction

Les objectifs

• Gérer un seul compte utilisateur
• Amélioration des méthodes d´authentification

Techniques

• Les composants
• Fonctionnement d´un SSO
• Architectures d´un SSO
• Sécurisation d´un SSO
• Mise en place d´un SSO

Conclusion

• Les Gains et les limites d´un SSO
• Conclusion
• Glossaire
• Bibliographie
• Présentation ppt