Le SSO est l’acronyme anglais pour Single Sign-on : on s'authentifie une fois et on accède à toutes les applications autorisées par notre profil. Le concept est intéressant.
Combien de responsables informatiques se plaignent, encore aujourd'hui, de l'échange de mots de passe entre utilisateurs. C’est à se demander à quoi cela sert de mettre des mots de passe ? Il faut pourtant bien être crédible, et ne pas négliger la sécurité !
C'est là le paradoxe, on sécurise parce qu'on a peur des attaques extérieures et on oublie celles venant de l'intérieur. On les ignore parfois tout en connaissant les risques potentiels.
Aujourd’hui, les éditeurs et les intégrateurs proposent un projet de signature unique, dit de SSO. Cela implique d’installer un serveur de sécurité, de configurer des règles très compliquées et d’ajouter des connecteurs spécifiques aux serveurs Web et serveurs d'applications existants. Inutile de dire que la solution est entièrement propriétaire et qu'elle ne correspond pas à l'évolution qu'on veut donner aux SI de demain.
Les SI de demain
Certaines entreprises ont déjà pris le tournant de l'urbanisation. Elles ont entrepris de rendre leur SI agile, pour casser les barrières de communication entre silos. Ainsi, elles sont souvent amenées à mettre en place une architecture orientée services (SOA).
« - Vous avez dit "services", vous voulez dire comme les "Webservices" ?
- Absolument ! »
Les Webservices sont les messages utilisés par la fédération d'identité.
Nous savons que la fédération d’identité sert à ouvrir son SI aux partenaires, pour leur permettre d'accéder aux informations de son entreprise sans qu’ils aient à se ré-authentifier, mais pas seulement.
Ce qu'il faut retenir dans la Fédération, c'est le principe d'échange et de communication.
Utiliser des services pour répondre aux questions d'identité et pour autoriser les accès me parait aujourd'hui une solution d'avenir.
Le seul frein à cette solution c'est peut-être le manque de maturité des techniques sous-jacente et le manque de normalisation. Sur un terrain où la règle veut que la loi du plus fort gagne, Microsoft essaie d’imposer son WS-Federation face au SAML V2. On peut dire ce qu’on veut de ce géant de l'informatique, mais dans son architecture, entièrement Microsoft, il a parfaitement intégré la signature unique en utilisant le protocole Kerberos.
Ce protocole étant ouvert, il peut être utilisé par d'autres et surtout par des services, ou Webservices d'authentification.
Aujourd’hui on peut faire du SSO avec Kerberos en déployant les Webservices d’authentification tout en étant conforme au principe SOA.
Jeu de briques
Snake
Pacman
Bubble