Le problème SSO a été abordé sous plusieurs angles, chacun produisant une solution différente avec ses avantages et inconvénients. On peut classer les résultats en plusieurs grandes catégories. Il est important de comprendre les catégories pour classer les produits d'authentification et mieux évaluer leur pertinence dans tel ou tel environnement.
L’espace d’application de la solution
Les catégories générales sont
au nombre de quatre :
1. Serveurs d’authentification
2. Proxies d’authentification
3. Registres centralisés
4. Mappage d’identité
Il existe des solutions dans chacune
de ces catégories, mais certaines
en sont à un stade très expérimental.
En examinant les avantages et les inconvénients
de chacune et leur fonctionnement
en coulisse, vous pourrez
déterminer les catégories répondant le
mieux à vos besoins. Il est particulièrement
important de percevoir les points
faibles dans chaque catégorie. Pour les
trouver, il faut analyser de près la manière
dont chaque méthode protège
l’information sur les mots de passe.
C’est ce que les hackers ont déjà fait.
Serveurs d’authentification. Le
serveur d’authentification a constitué
la première tentative de résolution du
problème. Développés initialement au
milieu des années 1990 pour fournir
l’authentification centralisée des ID et
mots de passe utilisateur pour l’accès
commuté, les serveurs d’authentification
supportent aujourd’hui beaucoup
plus d’applications. Les serveurs d’authentification
constituent les solutions SSO les plus anciennes et les plus
éprouvées, mais aussi les plus répandues.
Un serveur d’authentification
contient une base de données d’ID utilisateur,
de mots de passe, et d’autres
informations comme les adresses ID et
les services autorisés. Il « écoute » les
connexions provenant des systèmes
client sur une interface réseau (figure
1). Les mots de passe sont stockés
selon un cryptage unidirectionnel, de
telle sorte que la violation du serveur
ne compromette pas les mots de
passe. C’est un mécanisme de protection
très puissant pour les mots de
passe.
Quand un utilisateur essaie de se
connecter à une unité qui utilise le serveur
d’authentification pour la validation
du sign-on, cette unité crypte l’ID
et le mot de passe utilisateur, puis interroge
le serveur d’authentification,
en lui transmettant les valeurs d’ID et
le mot de passe utilisateur cryptées. Le
serveur d’authentification répond par
oui ou par non ; si oui, le serveur transmet
également d’autres attributs éventuels
concernant l’utilisateur authentifié,
comme une adresse IP ou une liste
de services autorisés.
En cas de crash du serveur d’authentification,
le problème est évident :
aucun système client tributaire de ce
serveur ne peut authentifier de nouveaux
utilisateurs. Pour pallier cette faiblesse,
les serveurs d’authentification
vont généralement par deux ou plus,
avec leurs bases de données utilisateur
synchronisées. En cas de défaillance
d’un serveur, les systèmes client peuvent
s’adresser à un autre sur la liste
des serveurs candidats.
L’avantage des serveurs d’authentification
est que la technologie est mature
et qu’il existe de nombreux produits
pour l’appliquer. On peut acheter
des serveurs d’authentification clés en
main pour pratiquement toutes les
plates-formes, y compris l’OS/400.
L’inconvénient des serveurs d’authentification
est qu’ils ne travaillent qu’avec des systèmes programmés
spécialement pour interroger le
serveur quand un utilisateur sollicite
l’accès. Aucun standard de serveur
d’authentification n’est largement
compatible avec tous les systèmes.
L’écriture des standards des serveurs
d’authentification n’est pas très rigoureuse,
d’où de nombreux problèmes
de compatibilité.
Le contrôleur de domaine
Windows est peut-être le serveur d’authentification
le plus largement utilisé.
Quand les utilisateurs se connectent à
un réseau Windows, leurs stations de travail sollicitent l’authentification auprès
du contrôleur de domaine primaire.
Si cette démarche échoue, les
stations de travail s’adressent au
contrôleur de domaine secondaire.
RADIUS (Remote Dial-In User
Service) est un autre type de serveur
d’authentification bien connu. Malgré
le « dial-in » dans son nom, RADIUS a
été adapté à de nombreuses autres
fonctions d’authentification : serveurs
Web, authentification de modem câble
et DSL, VPN et sign-on pour des unités
autonomes comme des routeurs et des
commutateurs.
L’Open group, un organisme de
standard à but non lucratif qui a fourni
des services de certification pour des
standards aussi connus que Unix,
CORBA et WAP, est en train d’élaborer
un nouveau standard de serveur d’authentification
appelé XSSO (Extended
Single Sign-On). Il vise à remplacer des
méthodes propriétaires comme des
contrôleurs de domaines Windows et
des standards de facto logiciels comme
RADIUS. Plusieurs grands acteurs,
dont IBM, soutiennent ce standard ouvert.
Mais la progression vers la publication
finale du standard s’effectue lentement.
Téléchargez cette ressource
Les mégatendances cybersécurité et cyber protection 2024
L'évolution du paysage des menaces et les conséquences sur votre infrastructure, vos outils de contrôles de sécurité IT existants. EPP, XDR, EDR, IA, découvrez la synthèse des conseils et recommandations à appliquer dans votre organisation.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
- Afficher les icônes cachées dans la barre de notification
- Activer la mise en veille prolongée dans Windows 10
- Et si les clients n’avaient plus le choix ?
- Cybersécurité Active Directory et les attaques de nouvelle génération
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
Les plus consultés sur iTPro.fr
- Teams Live Event: Kollective ou Microsoft ECDN ?
- Baromètre de la Transformation digitale 2024 en France
- Le secteur financier reste dans la ligne de mire des cyberattaquants
- CyberPatriot ®, le SOC de dernière génération de CHEOPS TECHNOLOGY
- L’IA comme levier d’évangélisation du COMEX à la cybersécurité
