SSO

Cours

Introduction
Les Objectifs
Techniques
- Les composants
- Fonctionnement d'un SSO
- Architecture d'un SSO
- Sécurisation d'un SSO
- Mise en place d'un SSO
Conclusion
Conclusion

Sécurisation d'un SSO

La mise en place d´un compte unique par utilisateur comporte des avantages notamment en terme de mutualisation des accès client à une application. Cependant, elle comporte également des risques.

En effet, le compte utilisateur étant unique, le vol de celui-ci entraîne un risque très important. La sécurisation de l´authentification devient donc primordiale.

Quels moyens d´authentification utiliser

Plusieurs moyens vont permettre à un utilisateur de s´authentifier auprès de l´application à laquelle il veut avoir accès :

le couple login/mot de passe est la méthode traditionnelle (il faut se méfier de son transport et de son utilisation)

un certificat de type " client "

un " ticket " qui sera soit rejouable ou non, soit limité ou illimité et qui permet de gérer la session ou l´authentification de l´utilisateur

Comment transporte-t-on les informations d´authentification ?

Il y a plusieurs moyens de transporter des informations d´authentification sous le protocole HTTP ou HTTPS. La communication s´effectue via les

Certificat

Aucune garantie de confidentialité n´est assurée lors des accès à l´aide du protocole HTTP il est assez simple à un pirate d´intercepter les requêtes d´un client et les réponses faites par le serveur. Par ailleurs, l´utilisateur n´a pas la certitude absolue d´être en cours de consultation du site qu´il croit.

Tous les modes de transfert s´avèrent par contre sécurisé avec le protocole HTTPS qui utilise la notion de certificat.

Comment protéger complètement le SSO

Les différents serveurs doivent avant tout disposer de moyens de sécurité performant (firewall, anti trojan, anti virus etc...), étant donné que c´est eux qui stockent l´informations.

Ensuite voici la marche a suivre pour sécuriser sont réseau :

le mot de passe de l´utilisateur ne circule qu´entre le navigateur client et le serveur d´authentification et nécessite nécessairement un canal crypté en HTTPS.

Le serveur d´authentification envoie un cookie de session via un canal crypté en HTTPS. Les données stockées dans le cookie sont protégées.

Les ré-authentifications suivantes sont faites de manière transparente à l´utilisateur, sous réserve de l´acceptation d´un cookie privé et protégé. Le cookie est un moyen technique fiable qui va permettre à l´utilisateur d´être reconnu comme authentifié lors de son prochain accès au serveur. Il a une durée de vie limitée (quelques heures en général). Il est le moyen pour les navigateurs d´obtenir auprès du serveur d´authentification des tickets pour les clients sans avoir à se ré-authentifier.

L´usage d´un " reverse proxy " est conseillé. Il va masquer l´accès direct au serveur d´application. Il évite la nécessité d´avoir de l´HTTPS de bout en bout (pas de nécessité de HTTPS entre le " reverse proxy " et l´application) et diminue le nombre de requêtes (seules les requêtes autorisées accèdent au serveur d´application).

Accueil

Imprimer