Il y a le SSO et le « Rich SSO » ?
Bien comprendre l'acronyme SSO pour trouver la solution la plus cohérente avec le besoin d'authentification unique

J’ai récemment participé à plusieurs évènements autour de l’authentification et la gestion des identités. Durant les présentations, l’acronyme SSO est apparu très régulièrement. « … nous intégrons les fonctionnalités de SSO… », « notre produit réalise le MFA et le SSO… », « nous aidons nos clients à mettre en place les principes de MFA et de SSO… », cet acronyme est utilisé dans toutes les solutions de renforcement de la sécurité des systèmes d’informations. Mais qui a-t-il réellement derrière cet acronyme ?

Que signifie SSO ?

Parfois, lorsqu’un mot, une expression ou plus particulièrement un acronyme est « connu », nous estimons que tout le monde maitrise sa signification. Cependant, il est souvent nécessaire de revenir sur sa signification exacte pour qu’il n’y ait pas de malentendu.

Bien sûr, SSO est l’acronyme de Single Sign On. Ce qui signifie littéralement « une seule authentification » ou parfois authentification unique. Le SSO n’est donc pas un produit ou une fonctionnalité, mais bien un principe. L’utilisateur s’authentifie une seule fois (généralement lors de l’authentification primaire), puis la solution de SSO gère et automatise les autres authentifications (nous parlons d’authentification secondaire ou authentification dans les applications).  

En conséquence, lorsque vous choisissez une solution de SSO, vous vous attendez à bénéficier des fonctionnalités ou processus suivants :

  • Une première authentification. Par exemple par la saisie d’un mot de passe. Ce mot de passe sera au minimum complexe. Idéalement, vous pouvez intégrer un mécanisme de MFA… mais ceci est un autre sujet ;
  • Pas d’autres actions d’authentification réalisées par l’utilisateur. La solution de SSO joue son rôle et réalise les authentifications secondaires de manière transparente pour l’utilisateur ;

Cependant, les parcs applicatifs des entreprises sont constitués d’une constellation d’applications …plus ou moins utilisées. En cela, la valeur d’une solution de SSO repose sur sa capacité à traiter toutes les applications de votre parc.

Qui a-t-il derrière le SSO ?

C’est à cet instant qu’apparait la subtilité de langage lors de l’usage de l’acronyme SSO.

En effet, derrière le SSO, il existe différentes technologies en fonction du contexte et de l’usage. Par exemple :

  • Le eSSO (autre acronyme pour Entreprise Single Sign On) désigne un outil utilisant un agent installé sur le poste de l’utilisateur. Cette approche est la plus traditionnelle. Elle simule les actions de l’utilisateur lors de l’authentifications secondaire. Pour être efficace, le eSSO doit intégrer des fonctionnalités avancées comme un coffre-fort sécurisé de mots de passe ou le changement régulier des mots de passe… Son avantage est qu’il supporte toutes les applications ;
  • Le WebSSO gère l’authentification secondaire dans les applications uniquement accessibles depuis un navigateur. Cette technologie repose toujours sur l’utilisation de mots de passe et, très fréquemment, se positionne en rupture de flux entre l’utilisateur et l’application cible. Le webSSO est souvent associé à la notion de « portail d’applications ». Il s’agit d’un portail positionné en amont des applications web et pilotant l’authentification ;
  • La fédération d’identité est un mécanisme d’authentification sans mot de passe. L’authentification est réalisée par un « jeton » d’authentification s’appuyant sur des protocoles standardisés comme SAML, OpenID Connect ou plus récemment CIBA pour la santé ou parfois OAuth… Cette technologie est également orientée applications web et portails. Elle nécessite que les applications soient compatibles avec ces protocoles de fédération. En cela, l’application doit intégrer la notion de « service provider ». Dans cette approche « sans mot de passe », nous voyons apparaitre les termes « modern authentication » ou « passwordless ».

La notion de Rich SSO.

Avec cet éclairage des éléments sous-jacents au SSO, il est plus facile de constater que les technologies ‘modernes’ visent les applications ‘récentes’. En cela, elles ne couvrent pas l’ensemble des applications des parcs applicatifs en production. A l’opposé, l’approche plus traditionnelle de eSSO supporte ‘normalement’ les applications plus traditionnelles (SAP, AS400, JAVA…) mais repose toujours sur l’authentification par mot de passe.

En conséquence, vous devez être attentif à l’usage de l’acronyme SSO. Afin de mettre en place le principe d’une seule authentification, sur votre parc existant, il est intéressant de pouvoir s’appuyer sur une solution qui supporte tout type d’application et qui intègre les méthodes d’authentifications modernes. Nous parlons alors de Rich SSO. Les solutions FairTrust s’inscrivent totalement dans cette approche cohérente avec les parcs applicatifs existants.

En savoir plus sur nos produits   


La cybersécurité dans le monde de la Santé
Ou comment concilier des objectifs contradictoires dans un domaine où l'accès aux données a un caractère vital ?