Posts Tagged 'SSO'

SSO et contrôle d’accès

Le SSO doit-il faire du contrôle d’accès ?

Introduction

Sur un projet de gestion d’identité, lors de la configuration de la solution SSO, j’ai été confronté au besoin fonctionnel de refuser l’accès aux applications, par le serveur de sécurité, des utilisateurs qui ne remplissent pas certains critères techniques, bien qu’authentifiés.

Mon, client considère, contrairement à moi, que ces critères techniques qui correspondent fonctionnellement à une habilitation doivent être pris en compte dans le processus d’accès aux applications, au même titre que l’authentification. Lire la suite ‘SSO et contrôle d’accès’

Shibboleth – un SSO ++

Nous avons évoqué, lors de précédents billets, le fonctionnement de Shibboleth basé sur la norme SAML 2.0.

La norme décrit les échanges entre le Service Provider (SP), qui protège les services, le Discovery Service (DS) qui permet à l’utilisateur d’indiquer son fournisseur d’identités et l’Identity Provider (IdP), qui assure l’authentification des utilisateurs.

Au sein d’une même entreprise, le déploiement d’une telle solution est comparable aux solutions de SSO standard, avec toutefois des avantages non négligeables.

Lire la suite ‘Shibboleth – un SSO ++’

Quel avenir pour le SSO ?

Le SSO est l’acronyme anglais pour Single Sign-on : on s’authentifie une fois et on accède à toutes les applications autorisées par notre profil. Le concept est intéressant. Combien de responsables informatiques se plaignent, encore aujourd’hui, de l’échange de mots de passe entre utilisateurs ? C’est à se demander à quoi cela sert de mettre des mots de passe. Il faut pourtant bien être crédible, et ne pas négliger la sécurité ! C’est là le paradoxe, on sécurise parce qu’on a peur des attaques extérieures et on oublie celles venant de l’intérieur. On les ignore parfois tout en connaissant les risques potentiels.

Aujourd’hui, les éditeurs et les intégrateurs proposent un projet de signature unique, dit de SSO. Cela implique d’installer un serveur de sécurité, de configurer des règles très compliquées et d’ajouter des connecteurs spécifiques aux serveurs Web et serveurs d’applications existants. Inutile de dire que la solution est entièrement propriétaire et qu’elle ne correspond pas à l’évolution qu’on veut donner aux SI de demain.

Les SI de demain

Certaines entreprises ont déjà pris le tournant de l’urbanisation. Elles ont entrepris de rendre leur SI agile, pour casser les barrières de communication entre silos. Ainsi, elles sont souvent amenées à mettre en place une architecture orientée services (SOA). « – Vous avez dit « services », vous voulez dire comme les « Webservices » ? – Absolument ! »

Les Webservices sont les messages utilisés par la fédération d’identité.

Nous savons que la fédération d’identité sert à ouvrir son SI aux partenaires, pour leur permettre d’accéder aux informations de l’entreprise sans qu’ils aient à se ré-authentifier, mais pas seulement. Ce qu’il faut retenir dans la Fédération, c’est le principe d’échange et de communication. Utiliser des services pour répondre aux questions d’identité et pour autoriser les accès me parait aujourd’hui une solution d’avenir.

Le seul frein à cette solution c’est peut-être le manque de maturité des techniques sous-jacentes et le manque de normalisation. Sur un terrain où la règle veut que la loi du plus fort gagne, Microsoft essaie d’imposer son WS-Federation face au SAML V2. On peut dire ce qu’on veut de ce géant de l’informatique, mais dans sa plateforme Windows, Microsoft, a parfaitement intégré la signature unique (SSO) en utilisant le standard Kerberos.

Ce protocole étant ouvert, il peut être utilisé par d’autres et surtout par des services, ou Webservices d’authentification. Aujourd’hui on peut faire du SSO avec Kerberos en déployant les Webservices d’authentification tout en étant conforme aux principes SOA.

Thierry ALBAIN

IAM – 1.bis Calcul du ROI sur un projet SSO

Vous l’aurez deviné, l’article IAM – 1. Vers une sécurité vraiment efficace met en avant les avantages du SSO dans l’entreprise. SSO est un sigle technique qui signifie en anglais « Single Sign On ». Le principe mis en avant est de faciliter l’accès à l’information de l’entreprise tout en la sécurisant par une signature unique.

Aujourd’hui, je vous propose de calculer le retour sur investissement d’un projet d’implémentation de SSO. Je vous propose aussi de calculer vos pertes financières si vous n’avez pas de SSO.

Téléchargez ce fichier Excel et modifiez les valeurs correspondant au dimensionnement de votre entreprise (les valeurs modifiables sont en blanc). Le coût du projet SSO est purement indicatif, n’est bien sûr pas contractuel et n’engage pas SQLI.

Thierry ALBAIN

IAM – 1. Vers une sécurité vraiment efficace

Voici le premier article d’une série sur le sujet de la Gestion d’identité ou IAM (Identity and Access Management). Nous allons donc aborder les thèmes relatifs à l’identité dans l’entreprise. L’identité se réfère à tout ce qui caractérise l’individu, tout ce qui le représente. Nous évoquerons les thèmes de la sécurité, de l’accès à l’information sur les individus, des processus en entreprise…

Venez les découvrir dans les semaines à venir.

Aujourd’hui, l’article démontre qu’une politique de mots de passe, aussi sévère soit-elle, peut s’avérer être totalement inefficace…

Discussion sur mon entrée dans le monde du travail.

– Bonjour Sophie, comment ça se passe dans ta nouvelle entreprise ?
– J’y suis depuis 6 mois, ça se passe bien, mais j’avoue que je n’arrive toujours pas à me faire à toute cette sécurité. C’est d’un compliqué…
– Comment ça ? La sécurité, c’est obligatoire, avec tous ces virus et ces pirates…
– Je t’explique : il a d’abord fallu que je change mon mot de passe Windows. Je devais le créer en mettant au moins une majuscule, un chiffre et une minuscule. Et puis, en plus, il fallait qu’il fasse au moins 8 caractères ! C’était dur de m’en souvenir, surtout que j’ai du appeler l’administrateur plusieurs fois parce que je l’avais oublié.
– Oui, moi aussi ça m’est arrivé.
– Attends ! C’est pas tout. Ensuite j’ai eu une messagerie, avec un autre mot de passe. On m’a dit de l’enregistrer dans l’ordinateur. Mais quand il a fallu le changer, 3 mois après, impossible de m’en souvenir !
– Chez nous, on ne le change jamais.
– C’est la même histoire pour tous mes logiciels. Je dois choisir un mot de passe tordu à chaque fois que je dois changer au bout de 3 mois. Je ne m’en sors plus. Je peux te dire que l’administrateur commence à me connaître.
– J’ai la solution ! Tu n’as qu’à faire comme moi : note tous tes mots de passe sur des post’it que tu mets sous le clavier et à chaque fois que tu en as besoin, tu l’as sous la main…

Une politique rigoureuse n’est pas toujours synonyme d’efficacité.

Une politique de mots de passe aussi rigoureuse entraîne des failles de sécurité là où on ne s’y attend pas. La politique appliquée ici protège inefficacement le SI. Certes, les mots de passe sont compliqués et donc difficiles à casser pour un hacker, mais les utilisateurs ne s’en souviennent pas. Donc, soit les utilisateurs notent les mots de passe en clair sous leur clavier, sur leur écran ou encore sur une feuille de papier qui traîne sur le bureau, soit ils ne s’en souviennent plus et le helpdesk passe 50% de son temps à réinitialiser les mots de passe pour chaque utilisateur de l’entreprise.

Contraindre les utilisateurs à créer des mots de passe compliqués pour protéger le SI, ne les obligera jamais à se souvenir de leurs multiples mots de passe.

Il existe toujours la série de « questions / réponses » qui permet de retrouver un mot de passe oublié. Cette solution est efficace pour un mot de passe, mais fait perdre beaucoup de temps si elle s’applique à plus de deux mots de passe.

Une solution, à ne surtout pas envisager aujourd’hui serait d’assouplir la politique de mots de passe. C’est revenir en arrière et de plus cela faciliterait le travail des hackers.

Comment faire alors ? Existe-t-il des solutions pour verrouiller efficacement l’accès au SI ?

Il existe, en effet, des solutions pour verrouiller efficacement l’accès au SI et éviter les fuites des mots de passe par les utilisateurs. Il est possible de renforcer d’avantage sa politique de mots de passe tout en facilitant l’accès aux applications du SI par les utilisateurs.

Implémenter une politique de mots de passe efficace permet de gagner

  • en sécurité – le Système d’Informations est mieux protégé.
  • en productivité – les utilisateurs seront plus productifs.
  • en retour sur investissement – le temps perdu pour les interventions sur les mots de passe du helpdesk ou des administrateurs système deviendra négligeable.

Thierry ALBAIN


    Mises à jour Twitter

    Entrer votre adresse e-mail pour vous inscrire a ce blog et recevoir les notifications des nouveaux articles par e-mail.

    Rejoignez 29 autres abonnés

    Catégories

    Statistiques

    • 64,072 hits