Authentification unique SAML pour applications cloud

SLe langage de balisage d'assertion de sécurité SAML (Security Assertion Markup Language) est une norme ouverte basée sur XML qui évite de devoir fournir plusieurs noms d'utilisateur et mots de passe spécifiques aux applications. Pour ce faire, il facilite l'échange sécurisé des données d'authentification et d'autorisation entre les applications. SAML est l'une des normes les plus répandues pour offrir aux utilisateurs un accès sécurisé, en un clic, à de multiples applications cloud par l'entremise de l'authentification unique (SSO). Toutes les principales applications cloud prennent en charge SAML, notamment Office 365, G Suite, Salesforce, Dropbox et ServiceNow

ADSelfService Plus prend en charge SSO pour toutes les applications cloud compatibles SAML 2.0.

Fonctionnement de l'authentification SAML?

L'authentification SAML requiert trois entités :

  • Un utilisateur – la personne qui essaie d'accéder à un service.
  • Un fournisseur de services – l'application qui fournit le service (p. ex. Office 365 et G Suite).
  • Un fournisseur d'identité (IdP) – l'application qui authentifie l'utilisateur (p. ex. ADSelfService Plus).

Dans certains cas, c'est l'IdP lui-même qui stocke les informations d'identité de l'utilisateur et qui les utilise pour l'authentification. Dans d'autres cas, c'est une autre infrastructure d'identité qui est utilisée pour l'authentification. ADSelfService Plus facilite l'authentification des utilisateurs en utilisant les identités Active Directory.

Pour configurer une authentification SSO basée sur SAML, l'IdP et le fournisseur de services doivent établir une relation de confiance mutuelle. Habituellement, l'établissement d'une relation de confiance implique de configurer le fournisseur de services avec l'URL de connexion SSO, l'URL de déconnexion SSO et un certificat X.509 fourni par l'IdP, ainsi que de configurer l'IdP avec quelques attributs uniques spécifiques au fournisseur de services. Une fois la confiance établie, le fournisseur de services délègue les responsabilités d'authentification à l'IdP.

Initiation d'une authentification SSO SAML dans ADSelfService Plus.

Pour initier une authentification SSO SAML dans ADSelfService Plus, les utilisateurs peuvent commencer, au choix, par le fournisseur de services ou l'IdP. Cela signifie que l'authentification SSO SAML fonctionne aussi bien quand les utilisateurs commencent d'abord par se connecter à leur application cloud ou à ADSelfService Plus.

Flux SSO initié par le fournisseur de services

  • En ce qui concerne le flux SSO initié par le fournisseur de services, l'utilisateur commence par essayer d'accéder au fournisseur de services.
  • Celui-ci génère une demande d'authentification SAML et redirige l'utilisateur vers l'IdP (ADSelfService Plus) aux fins d'authentification.
  • L'IdP vérifie si l'utilisateur est authentifié ou non. Dans la négative, l'utilisateur est invité à entrer leurs informations d'authentification.
  • Après une authentification réussie, l'IdP génère une réponse SAML.
  • Ensuite, l'IdP redirige l'utilisateur vers le fournisseur de services avec la réponse SAML.
  • Le fournisseur de services valide la réponse SAML et accorde l'accès à l'utilisateur.

Single sign-on flow

Flux SSO initié par l'IdP :

  • En ce qui concerne le flux SSO initié par l'IdP, l'utilisateur se connecte directement à l'IdP (ADSelfService Plus).
  • Une fois connecté, l'utilisateur clique sur l'icône du fournisseur de services dans le catalogue d'applications ADSelfService Plus.
  • ADSelfService Plus redirige alors l'utilisateur vers le fournisseur de services avec la réponse SAML.
  • Le fournisseur de services reçoit la réponse SAML et la valide.
  • Une fois la réponse validée, l'accès est accordé à l'utilisateur.

ADSelfService Plus prend en charge aussi bien les flux SSO SAML initiés par l'IdP que par le fournisseur de services pour la plupart des applications cloud de son catalogue d'applications.

Avantages de SAML

Amélioration de la sécurité : L'authentification SAML ne fait pas intervenir les mots de passe. Seules les demandes et les réponses SAML signées numériquement sont transmises entre le fournisseur de services et ADSelfService Plus. Puisque les mots de passe n'interviennent pas, cela contribue à réduire les menaces liées aux mots de passe.

Prise en charge par des milliers d'applications cloud : La quasi-totalité des applications cloud modernes prend en charge SAML. Vous pouvez facilement activer l'authentification SSO pour plusieurs applications à l'aide d'ADSelfService Plus.

 

Accès en un clic : SAML améliore l'expérience utilisateur en évitant de devoir se connecter plusieurs fois par jour simplement pour accéder à différentes applications.

Réduction de la charge de travail de l'équipe informatique : Avec l'activation de l'authentification SSO SAML, les administrateurs informatiques n'ont plus à se préoccuper des appels au support technique liés aux mots de passe ni de la gestion des identités dans de nombreux services.

Implémenter l'authentification SSO SAML pour les applications cloud

Voulez-vous implémenter l'authentification SSO SAML pour vos applications cloud ? Essayez ADSelfService Plus pour permettre à vos utilisateurs d'accéder aux applications cloud de façon transparente, en un clic. Lisez ce livre blanc pour en savoir plus sur l'activation de l'authentification SSO SAML basée sur Active Directory pour les applications cloud. 

ADSelfService Plus prend en charge SSO pour toutes applications cloud compatibles SAML 2.0. Si vous possédez une application d'entreprise personnalisée, vous pouvez également activer SSO pour cette application en utilisant ADSelfService Plus. Cliquez ici pour en savoir plus sur l'authentification SSO pour les applications personnalisées.

Download

Points forts

Exécuteur de stratégie de mot de passe

Assurez-vous que les mots de passe des utilisateurs sont forts pour résister aux différentes menaces de piratage en obligeant les utilisateurs Active Directory à choisir des mots de passe conformes en affichant les exigences de complexité des mots de passe.

Mise à jour en libre-service de l'annuaire et Recherche dans l'annuaire d'entreprise

Portail qui permet aux utilisateurs Active Directory de mettre à jour leurs dernières informations et d'utiliser une fonction de recherche rapide pour rechercher des informations sur leurs homologues en utilisant des clés de recherche de la personne recherchée, comme le numéro du contact.