Authentification unique - Single sign-on

L'authentification unique ( SSO ) est un schéma d'authentification qui permet à un utilisateur de se connecter avec un identifiant et un mot de passe uniques à l'un des nombreux systèmes logiciels connexes, mais indépendants.

La véritable authentification unique permet à l'utilisateur de se connecter une seule fois et d'accéder aux services sans ressaisir les facteurs d'authentification.

Il ne doit pas être confondu avec la même connexion (Authentification du serveur d'annuaire), souvent réalisée en utilisant le protocole LDAP ( Lightweight Directory Access Protocol ) et des bases de données LDAP stockées sur des serveurs (d'annuaire).

Une version simple de l'authentification unique peut être réalisée sur les réseaux IP à l' aide de cookies, mais uniquement si les sites partagent un domaine parent DNS commun.

Pour plus de clarté, une distinction est faite entre l'authentification du serveur d'annuaire (même authentification) et l'authentification unique : l'authentification du serveur d'annuaire fait référence aux systèmes nécessitant une authentification pour chaque application mais utilisant les mêmes aux systèmes où une seule authentification permet d'accéder à plusieurs applications en transmettant le jeton d'authentification de manière transparente aux applications configurées.

À l'inverse, la signature unique ou la déconnexion unique ( SLO ) est la propriété par laquelle une seule action de déconnexion met fin à l'accès à plusieurs systèmes logiciels.

Comme différentes applications et ressources prennent en charge différents mécanismes d' authentification , l' authentification unique doit stocker en interne les informations d'identification utilisées pour l'authentification initiale et les traduire en informations d'identification requises pour les différents mécanismes.

D'autres schémas d'authentification partagés, tels que OpenID et OpenID Connect , offrent d'autres services qui peuvent obliger les utilisateurs à faire des choix lors d'une connexion à une ressource, mais peuvent être configurés pour une connexion unique si ces autres services (tels que le consentement de l'utilisateur) sont désactivés. Un nombre croissant de connexions sociales fédérées, comme Facebook Connect , obligent l'utilisateur à saisir des choix de consentement lors de la première inscription avec une nouvelle ressource, et ne sont donc pas toujours une connexion unique au sens le plus strict.

Avantages

Les avantages de l'authentification unique incluent :

• Atténuer le risque d'accès à des sites tiers (« authentification fédérée ») car les mots de passe des utilisateurs ne sont pas stockés ou gérés en externe
• Réduisez la fatigue des mots de passe à partir de différentes combinaisons de nom d'utilisateur et de mot de passe
• Réduisez le temps passé à ressaisir les mots de passe pour la même identité
• Réduisez les coûts informatiques grâce à un nombre réduit d' appels au service d'assistance informatique concernant les mots de passe

• Gestion simplifiée. Les tâches liées à l'authentification unique sont exécutées de manière transparente dans le cadre de la maintenance normale, à l'aide des mêmes outils que ceux utilisés pour les autres tâches administratives.
• Un meilleur contrôle administratif. Toutes les informations de gestion du réseau sont stockées dans un référentiel unique. Cela signifie qu'il existe une seule liste faisant autorité des droits et privilèges de chaque utilisateur. Cela permet à l'administrateur de modifier les privilèges d'un utilisateur et de savoir que les résultats se propageront à l'échelle du réseau.
• Amélioration de la productivité des utilisateurs. Les utilisateurs ne sont plus encombrés par de multiples ouvertures de session et ne sont plus obligés de se souvenir de plusieurs mots de passe pour accéder aux ressources du réseau. C'est également un avantage pour le personnel du service d'assistance, qui doit répondre à moins de demandes de mots de passe oubliés.
• Meilleure sécurité du réseau. L'élimination de plusieurs mots de passe réduit également une source courante de failles de sécurité : les utilisateurs qui écrivent leurs mots de passe. Enfin, du fait de la consolidation des informations de gestion du réseau, l'administrateur peut savoir avec certitude que lorsqu'il désactive le compte d'un utilisateur, le compte est totalement désactivé.
• Consolidation de réseaux hétérogènes. En rejoignant des réseaux disparates, les efforts administratifs peuvent être consolidés, garantissant que les meilleures pratiques administratives et les politiques de sécurité de l'entreprise sont appliquées de manière cohérente.

SSO partage des serveurs d'authentification centralisés que toutes les autres applications et systèmes utilisent à des fins d'authentification et combine cela avec des techniques pour garantir que les utilisateurs n'ont pas à saisir activement leurs informations d'identification plus d'une fois.

Critique

Le terme de connexion réduite (RSO) a été utilisé par certains pour refléter le fait que la connexion unique n'est pas pratique pour répondre au besoin de différents niveaux d'accès sécurisé dans l'entreprise, et en tant que tel, plus d'un serveur d'authentification peut être nécessaire. .

Comme l'authentification unique donne accès à de nombreuses ressources une fois que l'utilisateur est initialement authentifié (« clés du château »), elle augmente l'impact négatif au cas où les informations d'identification seraient disponibles pour d'autres personnes et mal utilisées. Par conséquent, l'authentification unique nécessite une attention accrue sur la protection des informations d'identification de l'utilisateur et devrait idéalement être combinée avec des méthodes d'authentification fortes telles que les cartes à puce et les jetons de mot de passe à usage unique .

L'authentification unique rend également les systèmes d'authentification très critiques ; une perte de leur disponibilité peut entraîner un refus d'accès à tous les systèmes unifiés sous le SSO. L'authentification unique peut être configurée avec des capacités de basculement de session afin de maintenir le fonctionnement du système. Néanmoins, le risque de défaillance du système peut rendre l'authentification unique indésirable pour les systèmes auxquels l'accès doit être garanti à tout moment, tels que les systèmes de sécurité ou d'usine.

En outre, l'utilisation de techniques d'authentification unique utilisant des services de réseaux sociaux tels que Facebook peut rendre les sites Web tiers inutilisables dans les bibliothèques, les écoles ou les lieux de travail qui bloquent les sites de réseaux sociaux pour des raisons de productivité. Cela peut également causer des difficultés dans les pays dotés de régimes de censure actifs , tels que la Chine et son « projet Golden Shield » , où le site Web tiers peut ne pas être activement censuré, mais est effectivement bloqué si la connexion sociale d'un utilisateur est bloquée.

Sécurité

En mars 2012, un document de recherche a fait état d'une étude approfondie sur la sécurité des mécanismes de connexion sociale . Les auteurs ont trouvé 8 failles logiques sérieuses dans les fournisseurs d'identification de grande envergure et les sites Web de parties de confiance, tels que OpenID (y compris Google ID et PayPal Access), Facebook , Janrain , Freelancer , FarmVille et Sears.com . Étant donné que les chercheurs ont informé les fournisseurs d'identité et les sites Web des parties de confiance avant l'annonce publique de la découverte des failles, les vulnérabilités ont été corrigées et aucune faille de sécurité n'a été signalée.

En mai 2014, une vulnérabilité nommée Covert Redirect a été révélée. Il a été signalé pour la première fois comme une "vulnérabilité de redirection secrète liée à OAuth 2.0 et OpenID" par son découvreur Wang Jing, un doctorant en mathématiques de l' Université technologique de Nanyang , à Singapour. En fait, presque tous les protocoles d'authentification unique sont concernés. La redirection secrète tire parti des clients tiers sensibles à une redirection XSS ou ouverte.

En décembre 2020, des failles dans les systèmes d'authentification fédérés ont été découvertes comme ayant été utilisées par des attaquants lors de la violation de données du gouvernement fédéral des États-Unis en 2020 .

En raison du fonctionnement de l'authentification unique, en envoyant une demande au site Web connecté pour obtenir un jeton SSO et en envoyant une demande avec le jeton au site Web déconnecté, le jeton ne peut pas être protégé avec l' indicateur de cookie HttpOnly et donc peut être volé par un attaquant s'il existe une vulnérabilité XSS sur le site déconnecté, afin de réaliser un détournement de session . Un autre problème de sécurité est que si la session utilisée pour le SSO est volée (qui peut être protégée avec l'indicateur de cookie HttpOnly contrairement au jeton SSO), l'attaquant peut accéder à tous les sites Web qui utilisent le système SSO.

Intimité

Telle qu'implémentée à l'origine dans Kerberos et SAML, l'authentification unique n'offrait aux utilisateurs aucun choix quant à la divulgation de leurs informations personnelles à chaque nouvelle ressource visitée par l'utilisateur. Cela fonctionnait assez bien au sein d'une seule entreprise, comme le MIT où Kerberos a été inventé, ou de grandes entreprises où toutes les ressources étaient des sites internes. Cependant, à mesure que les services fédérés comme Active Directory Federation Services proliféraient, les informations privées de l'utilisateur étaient envoyées à des sites affiliés non sous le contrôle de l'entreprise qui avait collecté les données de l'utilisateur. Étant donné que les réglementations en matière de confidentialité se renforcent désormais avec des législations telles que le RGPD , les nouvelles méthodes comme OpenID Connect ont commencé à devenir plus attrayantes ; par exemple, le MIT, à l'origine de Kerberos, prend désormais en charge OpenID Connect .

Adresse e-mail

En théorie, l'authentification unique peut fonctionner sans révéler d'informations d'identification telles que les adresses e-mail à la partie de confiance (consommateur d'informations d'identification), mais de nombreux fournisseurs d'informations d'identification ne permettent pas aux utilisateurs de configurer les informations transmises au consommateur d'informations d'identification. À partir de 2019, la connexion à Google et à Facebook n'oblige pas les utilisateurs à partager des adresses e-mail avec le consommateur d'informations d'identification. « Connexion avec Apple » introduit dans iOS 13 permet à un utilisateur de demander une adresse e-mail de relais unique chaque fois que l'utilisateur s'inscrit à un nouveau service, réduisant ainsi la probabilité de liaison de compte par le consommateur d'informations d'identification.

Configurations communes

Basé sur Kerberos

• La connexion initiale demande à l'utilisateur ses informations d'identification et obtient un ticket d'octroi de tickets Kerberos (TGT).
• Les applications logicielles supplémentaires nécessitant une authentification, telles que les clients de messagerie , les wikis et les systèmes de contrôle de révision , utilisent le ticket d'octroi de tickets pour acquérir des tickets de service, prouvant l'identité de l'utilisateur au serveur de messagerie/serveur wiki/etc. entrer les informations d'identification.

Environnement Windows - La connexion Windows récupère le TGT. Les applications prenant en charge Active Directory récupèrent les tickets de service, de sorte que l'utilisateur n'est pas invité à se ré-authentifier.

Environnement Unix / Linux - La connexion via les modules Kerberos PAM récupère TGT. Les applications clientes kerberisées telles que Evolution , Firefox et SVN utilisent des tickets de service, de sorte que l'utilisateur n'est pas invité à se ré-authentifier.

Basé sur une carte à puce

La connexion initiale invite l'utilisateur à entrer la carte à puce . Des applications logicielles supplémentaires utilisent également la carte à puce, sans inviter l'utilisateur à ressaisir les informations d'identification. L'authentification unique basée sur une carte à puce peut utiliser des certificats ou des mots de passe stockés sur la carte à puce.

Authentification Windows intégrée

L'authentification Windows intégrée est un terme associé auxproduits Microsoft et fait référence aux protocoles d' authentification SPNEGO , Kerberos et NTLMSSP en ce qui concerne la fonctionnalité SSPI introduite avec Microsoft Windows 2000 et incluse avecles systèmes d'exploitation Windows NT ultérieurs. Le terme est le plus souvent utilisé pour désigner les connexions authentifiées automatiquement entre Microsoft Internet Information Services et Internet Explorer . Les fournisseurs d'intégrationmultiplateforme d' Active Directory ont étendu le paradigme d'authentification Windows intégrée aux systèmes Unix (y compris Mac) et Linux.

Langage de balisage des assertions de sécurité

Security Assertion Markup Language (SAML) est une méthode basée sur XML pour l'échange d'informations de sécurité utilisateur entre un fournisseur d'identité SAML et un fournisseur de services SAML . SAML 2.0 prend en charge le cryptage XML W3C et les échanges d'authentification unique par navigateur Web lancés par le fournisseur de services. Un utilisateur utilisant un agent utilisateur (généralement un navigateur Web) est appelé le sujet dans l'authentification unique basée sur SAML. L'utilisateur demande une ressource Web protégée par un fournisseur de services SAML. Le fournisseur de service, souhaitant connaître l'identité de l'utilisateur, émet une demande d'authentification auprès d'un fournisseur d'identité SAML par l'intermédiaire de l'agent utilisateur. Le fournisseur d'identité est celui qui fournit les informations d'identification de l'utilisateur. Le fournisseur de services fait confiance aux informations d'utilisateur du fournisseur d'identité pour fournir l'accès à ses services ou ressources.

Configurations émergentes

Appareils mobiles comme identifiants d'accès

Une nouvelle variante de l'authentification à connexion unique a été développée en utilisant des appareils mobiles comme identifiants d'accès. Les appareils mobiles des utilisateurs peuvent être utilisés pour les connecter automatiquement à plusieurs systèmes, tels que les systèmes de contrôle d'accès aux bâtiments et les systèmes informatiques, grâce à l'utilisation de méthodes d'authentification qui incluent OpenID Connect et SAML, en conjonction avec un X.509 ITU-T certificat de cryptographie utilisé pour identifier l'appareil mobile auprès d'un serveur d'accès.

Un appareil mobile est « quelque chose que vous avez », par opposition à un mot de passe qui est « quelque chose que vous connaissez » ou à la biométrie (empreinte digitale, scan rétinien, reconnaissance faciale, etc.) qui est « quelque chose que vous êtes ». Les experts en sécurité recommandent d'utiliser au moins deux de ces trois facteurs ( authentification multifacteur ) pour une meilleure protection.

Voir également

• Service d'authentification centralisé
• Gestion des identités
• Systèmes de gestion des identités
• Liste des implémentations d'authentification unique
• Langage de balisage des assertions de sécurité
• Facilité d'utilisation des systèmes d'authentification Web

Les références

Liens externes

• Présentation de l'authentification unique avec des diagrammes