Avec l’explosion des applications Web, les organisations ont cherché des solutions d’authentification unique (SSO) pour permettre une intégration plus efficace avec leurs services d’annuaire principaux. Ici, nous explorerons la différence entre l’authentification unique SAML et le provisionnement juste à temps (JIT), deux concepts qui affectent la façon dont les utilisateurs accèdent aux applications Web.
Qu’est-ce que l’authentification unique SAML ?
Le protocole SAML (Security Assertion Markup Language) a été créé au début des années 2000 pour permettre une authentification sécurisée entre les fournisseurs d’identité et les fournisseurs de services (c’est-à-dire les applications Web). SAML est sécurisé car il transmet des certificats basés sur XML qui sont uniques à chaque application plutôt que de transmettre des informations d’identification de l’utilisateur.
En utilisant SAML, les organisations ont créé des solutions SSO qui simplifient le processus de connexion. Au lieu de créer de nouveaux ensembles d’informations d’identification pour chaque application Web qu’ils utilisaient, les utilisateurs pouvaient tirer parti de leurs informations d’identification Active Directory / core directory pour accéder à la fois à leurs machines et à leurs applications Web via un plugin de navigateur ou un portail Web.
L’authentification unique SAML se produit soit par le biais de connexions initiées par le fournisseur de services, soit par le fournisseur d’identité. Dans les connexions initiées par le fournisseur de services, les utilisateurs visitent directement le site Web de l’application et sont redirigés vers leur fournisseur d’identité par un attribut tel que leur nom de domaine ou leur nom d’utilisateur. Ils sont ensuite automatiquement connectés à l’application via leur fournisseur d’identité. Dans les connexions initiées par le fournisseur d’identité, les employés cliquent sur leur portail Web SSO pour accéder à l’application. Dans les deux cas, le fournisseur de services ne reçoit ni ne suit jamais ses informations d’identification.
Les fournisseurs SSO offrent souvent des connecteurs pré-construits et génériques pour donner aux organisations la flexibilité de se connecter à des applications populaires et propriétaires. Les connecteurs prédéfinis fonctionnent pour des applications populaires telles que Slack, Salesforce, GitHub et des milliers d’autres, tandis que les connecteurs génériques permettent aux administrateurs de remplir les champs nécessaires pour se connecter à des applications moins accessibles. Ces solutions permettent de gagner du temps non seulement pour les utilisateurs finaux (qui passent 36 minutes par mois sur les activités de mot de passe, selon LastPass), mais aussi pour les administrateurs informatiques qui ont besoin de gérer en toute sécurité le provisionnement des utilisateurs et les mots de passe.
Qu’est-ce que le provisionnement juste à temps ?
Le provisionnement juste à temps utilise également le protocole SAML et fait référence à une méthode de création de compte d’application.
Avec JIT, les administrateurs informatiques n’ont plus besoin de créer des comptes manuellement pour chaque utilisateur dans chaque application qu’ils utilisent. Au lieu de cela, les comptes d’utilisateurs sont créés la première fois que les utilisateurs essaient de se connecter aux applications, tant qu’ils disposent d’autorisations pour eux.
Par exemple, les administrateurs informatiques peuvent accorder automatiquement l’accès à Salesforce à tous les utilisateurs du service commercial, et les comptes de ces utilisateurs sont créés la première fois qu’ils tentent de se connecter à Salesforce via leur portail SSO ou par une connexion initiée par un fournisseur de services.
Il est important de noter que le fournisseur de services (application Web) doit prendre en charge JIT pour que cette implémentation fonctionne.
Comparaison de l’authentification unique SAML et du provisionnement JIT
L’authentification unique SAML et le provisionnement JIT jouent tous deux un rôle dans la fourniture d’une expérience de connexion transparente aux applications pour les utilisateurs, et ils peuvent être utilisés conjointement.
La mise en œuvre de l’authentification unique des applications Web a un effet notable sur l’expérience utilisateur, car les utilisateurs n’ont à saisir leurs informations d’identification qu’une seule fois par session pour accéder à toutes leurs applications dont ils ont besoin pour travailler pendant la journée.
Bien que l’expérience utilisateur ne change pas radicalement lorsqu’une organisation utilise le provisionnement JIT, le processus rend l’intégration plus efficace et les opérations informatiques plus rationalisées. JIT est un outil en coulisses pour permettre aux administrateurs informatiques de consacrer plus de temps à d’autres tâches critiques.
L’authentification unique SAML et le provisionnement JIT augmentent également la sécurité de l’organisation et empêchent l’étalement des identités, car ils garantissent que les utilisateurs n’ont qu’une seule identité sécurisée pour leurs machines, d’autres ressources gérées par des répertoires et des applications – plutôt que des mots de passe répétés ou similaires entre les services — et réduisent les tâches de provisionnement manuel que les administrateurs doivent effectuer.
En savoir plus
Si vous êtes un administrateur informatique qui explore la solution SSO la mieux adaptée à votre environnement, nous avons compilé un » Guide d’achat SSO » pour éclairer votre recherche.