La mise en place d’un Single Sign On, encore d’actualité ?

L’augmentation du nombre d’applications, l’ouverture croissante vers Internet ou vers des entités externes, tels que des clients, des consultants ou des fournisseurs, induit la mise en œuvre de nombreux mécanismes d’authentification, faisant appel à différents référentiels, diluant ainsi la cohérence de la stratégie de sécurité globale du système d’information. De nombreuses études ont révélé des effets négatifs de cette prise en charge hétérogène :

  • Productivité La grande majorité des applications utilisant leur propre référentiel, l’utilisateur doit s’authentifier de nombreuses de fois pour accéder aux applications. Il en va de même avec les politiques de renouvellement de mot de passe.
  • Budget Découlant de la productivité, la multiplication des couples identifiant / mot de passe entraine de plus nombreux cas d’oubli de mot de passe, engendrant une augmentation de charge du support utilisateurs. De plus, les administrateurs en charge de la maintenance de ces nombreux référentiels le font au détriment des actions proactives et de veille technique.
  • Cadre réglementaire Les obligations normatives de traçabilité et de contrôle des accès aux différentes briques du système d’information sont de plus en plus nombreuses.
  • Niveau de sécurité La multiplication des identifiants / mot de passe générant une sollicitation des utilisateurs plus forte, ces derniers tendent à choisir l’option des mots de passe « simples ». Il est très fréquent d’être confronté à des mots de passe uniques, ou à des mots de passe de faible complexité, ces informations confidentielles étant alors stockées sur un carnet ou sur des post-it au dos des claviers, écran ou même à la vue de tous.

Single Sign-On : l’authentification unique Afin de réduire, ou de supprimer ces situations, le choix d’une solution d’authentification unique devient une alternative pertinente tant d’un point de vue fonctionnel qu’économique. L’avantage de ces solutions est de permettre une authentification forte de l’utilisateur au début de sa journée de travail, puis une authentification transparente vers les différentes applications. Le moteur SSO va jouer, à la place de l’utilisateur, l’authentification auprès de l’application ou du service sollicité tout en conservant la gestion des différentes erreurs liées à cette phase. Afin de garantir une implémentation fonctionnelle cohérente, certaines briques sont essentielles :

  • Self-service Le module self-service accompagne les utilisateurs dans l’ouverture de session ou pour réinitialiser leur mot de passe au travers d’une série de questions / réponses définies par le responsable sécurité et l’utilisateur.
  • Audit Le module d’audit permet d’avoir une journalisation des phases d’authentification, d’accès aux applications, des actions de renouvellement des mots de passe, sur les périodes de délégation des comptes et de permettre l’identification des postes de travail ayant servi à l’accès. Ce module doit intégrer une fonction de reporting afin de bénéficier d’une visibilité en temps réel de la situation.
  • Authentification Cœur de la problématique, ce module doit permettre la prise en charge des différents modes d’authentification, comme les certificats, les cartes RFID passive, les badges RFID actifs, les tokens USB, les lecteurs biométriques, l’usage des serveurs RADIUS, Kerberos ou l’utilisation de One Time Password. De plus, il permet de réaliser un contrôle d’accès en vérifiant différentes règles qui peuvent-être des plages horaires, nécessiter un mode d’authentification particulier (pour les applications critiques), interdire l’accès depuis certaines stations de travail, … Enfin, il permet aussi d’appliquer une politique de mot de passe en spécifiant des critères pouvant être globaux à l’ensemble du SI ou spécifique à certaines applications. Ce procédé comporte l’avantage de ne pas nécessiter de modifications de la politique de sécurité des applications, qui n’est pas toujours maîtrisée en interne.

Avencis – SSOX La solution SSOX est une solution de SSO offrant une très bonne intégration dans un environnement Microsoft. Même si le choix technologique est sans appel, la prise en compte de service issu d’autres éditeurs ou du monde Open Source n’a pas été mise à l’écart. Ainsi, l’ensemble des annuaires du marché est compatible avec la solution, tout comme l’intégration avec des Infrastructure PKI tierces ou la mise en place d’une infrastructure biométrie centralisée. Il est à noter que SSOX embarque une solution de gestion de cartes (CMS) fonctionnelle avec une IGC Microsoft uniquement.