L'authentification unique repose sur un système de gestion des identités fédéré (parfois appelé fédération d'identités) entre plusieurs domaines de confiance (par exemple, une organisation qui autorise ses utilisateurs à utiliser les mêmes données d'identification pour accéder à toutes ses ressources). Les domaines de confiance sont utilisés par les systèmes locaux pour authentifier les utilisateurs.

L'authentification unique utilise des normes ouvertes, telles que SAML (Security Assertion Markup Language), OAuth ou OpenID, pour permettre l'utilisation des informations de compte des utilisateurs par des services tiers (par exemple, des sites web, des applications) sans divulguer leurs mots de passe. Les informations d'identité sont transmises sous forme de jetons contenant des informations sur les utilisateurs, telles que leur adresse e-mail ou leur nom d'utilisateur.

Voici un résumé du processus d'authentification unique.

1. L'utilisateur ouvre le site web ou l'application et, s'il n'est pas connecté, une invite de connexion lui propose une option d'authentification unique.
2. L'utilisateur saisit ses identifiants de connexion (par exemple, son nom d'utilisateur et son mot de passe) dans le formulaire de connexion. Le site web ou l'application génère un jeton d'authentification unique et envoie une demande d'authentification au système d'authentification unique.
3. Ce dernier vérifie le domaine de confiance pour déterminer si l'utilisateur a été authentifié.
4. Si l'utilisateur n'est pas authentifié, il est redirigé vers un système de connexion pour s'authentifier à l'aide de ses identifiants.
5. Si l'utilisateur est authentifié, un jeton est renvoyé au site web ou à l'application pour confirmer la réussite de l'authentification et lui accorder l'accès.

Si un utilisateur saisit des identifiants incorrects, il est invité à les saisir à nouveau. Généralement, plusieurs tentatives infructueuses entraînent le blocage de l'utilisateur pendant un certain temps, voire son verrouillage complet après un nombre excessif de tentatives.

Un jeton d'authentification unique est un fichier numérique utilisé pour transmettre un ensemble de données ou d'informations entre les systèmes lors du processus d'authentification unique. Il contient des informations d'identification de l'utilisateur, telles qu'un nom d'utilisateur ou une adresse e-mail, ainsi que des informations sur le système qui l'envoie.

Pour garantir que les jetons proviennent d'une source fiable, ils doivent être signés numériquement. Lors de la configuration initiale de l'authentification unique, le certificat numérique est échangé.

L'authentification unique est largement utilisée car elle simplifie l'accès et élimine la prolifération des noms d'utilisateur et des mots de passe, source de complications pour les utilisateurs et les administrateurs, en particulier dans les entreprises comptant des centaines, voire des milliers d'applications. Cependant, l'authentification unique n'est pas sans risques.

Les organisations qui mettent en œuvre l'authentification unique doivent prendre en compte et atténuer les risques, car un seul ensemble d'identifiants peut donner accès sans autorisation à plusieurs applications et processus. Les problèmes de sécurité fréquemment évoqués concernant l'authentification unique incluent :

• Piratage de compte
• Les violations de données qui peuvent entraîner des fuites, des pertes de données et des pertes financières
• Usurpation d'identité
• Piratage de session

Deux mesures de sécurité efficaces peuvent être mises en œuvre parallèlement à l'authentification unique pour assurer une protection contre l'exploitation : la gouvernance des identités et l'authentification multifacteur.

Gouvernance des identités

La gouvernance des identités est une initiative basée sur des politiques qui aide les administrateurs à mieux gérer et contrôler les accès à l'authentification unique. La gouvernance des identités offre aux administrateurs une visibilité complète sur les employés ayant accès à quels systèmes et données, ainsi que sur la détection des identifiants faibles, des accès inappropriés et des violations de politiques.

Les administrateurs utilisent des outils de gouvernance des identités pour modifier, révoquer ou supprimer différents niveaux d'accès en cas de suspicion (ou de preuve) de compromission des identifiants d'un utilisateur.

Authentification multifacteur (MFA - 2FA)

La mise en œuvre de l'authentification multifacteur (MFA) ou à deux facteurs (2FA) avec authentification unique (SSO) contribue à sécuriser les domaines de confiance. En effet, une vérification d'identité supplémentaire, au-delà des identifiants de connexion unique, est nécessaire pour accéder aux domaines. 

L'authentification multifacteur peut être déployée sur tous les comptes liés par l'authentification unique pour une protection maximale.

1. Définir les objectifs de la mise en œuvre de l'authentification unique.
2. Déterminer les utilisateurs et les besoins.
3. Évaluer les capacités existantes et identifier les lacunes.
4. Définir le contrôle d'accès et les autres exigences.
5. S'assurer que l'architecture informatique de l'organisation prend en charge l'authentification unique et apporter des ajustements pour combler les lacunes.
6. Dresser une liste de solutions répondant aux critères fondamentaux.
7. Évaluer les options pour identifier la solution optimale.
8. Collaborer avec les équipes informatiques et de sécurité pour garantir que la mise en œuvre de l'authentification unique répond aux exigences des utilisateurs et des équipes informatiques.

L'authentification unique valide et authentifie les identifiants des utilisateurs à l'aide de différents protocoles et normes ouverts, notamment :

Jeton Web JSON (JWT)

Le jeton Web JSON, ou JWT, est un protocole d'authentification unique largement utilisé dans les applications grand public. Cette norme ouverte (RFC 7519) permet de transmettre les informations d'authentification unique sous forme d'objets JSON de manière sécurisée.

Kerberos

Système d'authentification par ticket, Kerberos permet à plusieurs entités de vérifier mutuellement leur identité grâce au chiffrement afin d'empêcher tout accès non autorisé aux informations d'identification. Grâce à Kerberos pour l'authentification unique, une fois les identifiants validés, un ticket d'octroi de ticket est émis et utilisé pour récupérer les tickets de service des autres applications auxquelles les utilisateurs authentifiés doivent accéder.

Autorisation ouverte (OAuth)

Avec OAuth, ou autorisation ouverte, les applications peuvent accéder aux informations utilisateur d'autres sites web sans fournir de mot de passe. OAuth remplace les mots de passe pour obtenir l'autorisation d'accéder aux informations protégées par mot de passe. Au lieu de demander des mots de passe aux utilisateurs, les applications utilisent OAuth pour obtenir l'autorisation d'accéder aux données protégées par mot de passe.

OpenID Connect (OIDC)

Normalisation par la Fondation OpenID et basée sur le framework OAuth 2.0, OpenID Connect (OIDC) est un système d'authentification offrant une approche décentralisée de l'authentification unique. Avec OIDC, le site web ou l'application authentifie les identifiants des utilisateurs. Plutôt que de transmettre un jeton à un fournisseur d'identité tiers, OpenID Connect demande au site web ou à l'application des informations supplémentaires pour authentifier les utilisateurs.

Langage de balisage d'assertion de sécurité (SAML)

SAML, ou Security Assertion Markup Language, est un protocole utilisé par les sites web et les applications pour échanger des informations d'identification avec un service d'authentification unique via XML. SAML permet aux utilisateurs de se connecter une seule fois à un réseau avant d'accéder à toutes les applications de ce réseau.

Grâce aux services d'authentification unique basés sur SAML, les applications n'ont pas besoin de stocker les identifiants des utilisateurs sur leur système, ce qui les rend plus flexibles et plus sécurisés que d'autres options. Il aborde également les problèmes rencontrés par les administrateurs informatiques lorsqu’ils tentent de mettre en œuvre l’authentification unique avec le protocole d’accès aux annuaires légers (LDAP).

Authentification unique d'entreprise

Parfois appelé E-SSO, l'authentification unique d'entreprise est implémentée dans les environnements d'intégration d'applications d'entreprise (EAI). Elle permet aux utilisateurs d'accéder à toutes les applications, qu'elles soient sur site ou hébergées dans le cloud, avec un seul ensemble d'identifiants de connexion.

Avec l'authentification unique d'entreprise, les administrateurs obtiennent les identifiants lors de la première connexion des utilisateurs et les utilisent automatiquement pour authentifier les connexions ultérieures à d'autres applications et systèmes. En centralisant les noms d'utilisateur et les mots de passe, l'authentification unique d'entreprise libère les administrateurs des tâches fastidieuses de gestion des noms d'utilisateur et des mots de passe. Selon les contrôles définis par les administrateurs, les utilisateurs peuvent accorder l'accès aux applications pour une durée déterminée sans intervention de l'administrateur.

Authentification unique fédérée

L'authentification unique fédérée utilise des protocoles SSO standard pour permettre aux utilisateurs d'accéder aux sites web sans barrières d'authentification. Elle étend l'authentification unique standard en unifiant plusieurs groupes sous un système d'authentification centralisé. L'authentification unique fédérée permet d'accéder à plusieurs systèmes au sein d'une même entreprise ou de plusieurs entreprises.

Authentification unique mobile

Grâce à l'authentification unique mobile, une seule identité permet d'accéder à plusieurs applications mobiles connectées. Les jetons d'accès sont stockés dans le trousseau du système d'exploitation de l'appareil mobile, permettant ainsi la reconnaissance des sessions actives.

Authentification unique par carte à puce

Plutôt que de s'appuyer sur des jetons et des logiciels numériques, l'authentification unique par carte à puce utilise une carte physique pour l'authentification de l'utilisateur. L'authentification unique par carte à puce nécessite que l'utilisateur utilise les identifiants stockés sur la carte lors de sa première connexion. Pour obtenir les informations de la carte, un lecteur est nécessaire, et les cartes doivent être dotées d'une bande magnétique ou d'un mode de transfert de données sans contact.

Authentification unique Web

Grâce à l'authentification unique web, les utilisateurs peuvent accéder à plusieurs sites web connectés avec un seul identifiant. Une fois connecté à une propriété, ils peuvent passer de l'une à l'autre et sont reconnus, authentifiés et approuvés.

L'authentification unique web est couramment utilisée pour les applications accessibles depuis des sites web. Il existe deux techniques principales pour configurer l'authentification unique web.

1. L'authentification unique est gérée au sein de l'application web ou des agents des applications protégées. L'un des principaux défis de cette méthode réside dans la nécessité de modifier les applications pour l'agent d'authentification unique, et l'application doit être visible depuis le navigateur web de l'utilisateur.
2. L'authentification unique utilise un proxy inverse pour gérer les données d'authentification dans l'application afin de permettre aux processus d'authentification unique de fonctionner indépendamment des serveurs web. Dans ce cas, le proxy inverse agit comme intermédiaire, gérant l'accès et activant le processus d'authentification unique.
   

Les critères de sélection d'une solution d'authentification unique varient selon l'organisation et les cas d'utilisation. Voici quelques éléments de base à prendre en compte lors du processus d'évaluation :

Considérations organisationnelles :

• La solution d'authentification unique répond-elle aux besoins de l'organisation ?
• La solution prend-elle en charge les ressources informatiques nécessitant une authentification unique (applications, appareils, réseaux, etc.) ?
• S'agit-il d'une solution d'authentification unique appropriée à court terme, pouvant être remplacée sans entraîner de perturbations et de contraintes informatiques acceptables ?
• La solution d'authentification unique sera-t-elle évolutive pour répondre aux besoins prévus ?
• La solution d'authentification unique fonctionnera-t-elle bien avec d'autres systèmes de sécurité ?

Considérations relatives à la fonctionnalité d'authentification unique :

• Options d'authentification, telles que la prise en charge de l'authentification multifacteur, de l'authentification adaptative, de l'authentification forcée automatique et du protocole LDAP (Lightweight Directory Access Protocol)
• Analyse et réponse comportementales, telles que la mise sur liste noire ou sur liste blanche des adresses IP, la définition de réponses pour contrer les tentatives d'attaque par force brute et les dispositions de réauthentification des utilisateurs
• Conformité aux normes de sécurité, telles que ISO 27017, ISO 27018, ISO 27001, SOC 2 Type 2, et aux lois (par exemple, le Règlement général sur la protection des données (RGPD) et la loi californienne sur la protection de la vie privée des consommateurs (CCPA))
• Fédération permettant le déploiement via des fournisseurs d'identité privilégiés, tels que Microsoft Active Directory et Google Directory
• Options flexibles de validation des mots de passe, telles que la personnalisation de la durée d'expiration, de la complexité des mots de passe et des notifications d'expiration
• Fonctionnalités d'authentification unique prêtes à l'emploi pour les appareils mobiles
• Connexions prédéfinies et personnalisées aux applications SAML (Security Assertion Markup Language)
• Authentification utilisant des protocoles standard ouverts tels que JSON Web Token (JWT), Kerberos, Open Authorization (OAuth), OpenID Connect (OIDC) et SAML

Support aux développeurs, notamment une prise en charge adéquate des interfaces de programmation d'applications (API) de gestion du cycle de vie et des kits de développement logiciel (SDK) pour les principales plateformes.

• Centralise le processus d'accès aux sites web, applications et autres comptes, y compris le provisionnement et la désactivation.
• Améliore la productivité en simplifiant l'accès aux ressources.
• Favorise l'adoption des applications promues par l'entreprise en les rendant plus facilement accessibles.
• Facilite l'audit des accès utilisateurs en fournissant un contrôle d'accès robuste à tous les types de données liées à l'accès.
• Libère les utilisateurs de la difficulté de choisir des mots de passe forts pour plusieurs comptes.
• Aide les organisations à se conformer aux réglementations en matière de sécurité des données.
• Améliore la sécurité en minimisant le nombre de mots de passe par utilisateur.
• Maintient un accès sécurisé aux applications et aux sites web.
• Permet aux applications de demander à d'autres services d'authentifier les utilisateurs.
• Minimise le risque de mauvaises habitudes en matière de mots de passe.
• Prévient le shadow IT en permettant aux administrateurs informatiques d'améliorer la surveillance des activités des utilisateurs sur les serveurs de l'entreprise.
• Offre une meilleure expérience client.
• Réduit les coûts en limitant les interventions auprès des services d'assistance informatique pour les problèmes de mot de passe.
• Supprime les identifiants de connexion des serveurs ou du stockage réseau pour réduire les cyber-risques.

• Renforce la sécurité des mots de passe.
  

L'authentification unique est une technologie qui simplifie les flux de travail et améliore la productivité des utilisateurs et des administrateurs. Grâce à ses multiples options de déploiement, elle s'adapte à presque tous les cas d'utilisation. 

En éliminant les complications et les vulnérabilités liées à la prolifération des mots de passe, l'authentification unique s'est avérée un outil incontournable en matière de sécurité informatique.