Adaptive authentication

Le SSO, entre expérience utilisateur et sécurité

La mise en œuvre de l’authentification unique, ou single sign-on (SSO), est une opportunité d’amélioration de l’expérience utilisateur. Il s’agit en effet de lui permettre d’accéder à l’ensemble de ses applications à l’aide d’une seule authentification initiale. Le nombre de mots de passe à retenir, à saisir et à renouveler est ainsi limité.

Mais sa mise œuvre est aussi très intéressante d’un point de vue sécurité. Elle permet la centralisation des authentifications et donc l’application et le contrôle plus simple des politiques de sécurité. Si le SSO est correctement mis en œuvre via l’utilisation de mécanismes de contrôle avancés (accès conditionnel, authentification multi facteurs ou MFA entre autres), il permet d’améliorer la sécurité globale du SI grâce à un contrôle précis et adaptatif des authentifications.

 

Adaptive authentication

Adaptive authentication (Source)

C’est donc généralement avec ces objectifs en ligne de mire que sont lancés les projets « SSO ». Il est alors opportun de rappeler que celui-ci n’est qu’une brique de la Gestion des Identités et des Accès, ou Identity and Access management (IAM). Et bien que ce soit la brique la plus visible et donc celle qui permet d’obtenir les financements, elle entraîne avec elle un corolaire souvent plus complexe : la gestion du cycle de vie des identités et des comptes (provisioning), et la gestion des autorisations d’accès aux applications. Alors que le SSO est un projet purement technique et géré par l’équipe informatique, la gestion du cycle de vie des identités et des autorisations doit être construit en partenariat avec d’autres services de la structure (DRH notamment).

Même si le SSO est l’objectif principal et affiché, il est primordial dans ce genre de projet de prendre en considération l’ensemble des aspects de l’IAM au risque de n’atteindre ni les objectifs de sécurité (en laissant nombre de comptes inutilisés dans le SI par exemple), ni les objectifs de fonctionnement du SSO (en n’assurant pas la cohérence entre les comptes applicatifs et les comptes d’authentification).

Pour toute prestation de conseil SSO, contactez-nous.