Qu'est-ce que le protocole SAML ?
Depuis les systèmes CRM destinés aux commerciaux jusqu'aux solutions de facturation pour les comptables, l’essor des applications web en mode SaaS a simplifié la vie de nombreux professionnels. Toutefois, même les applications de productivité les plus avancées peuvent involontairement engendrer des inefficacités et des risques : appels fréquents au support pour signaler l'oubli d'un mot de passe ou risque plus important de failles de sécurité, par exemple. Ce sont typiquement les problèmes que le protocole SAML (Security Assertion Markup Language) résout en autorisant les utilisateurs à se servir de leurs identifiants Active Directory pour accéder à plusieurs applications externes.
Qu'est-ce que le protocole SAML et quel est son principe de fonctionnement ?
SAML est un standard ouvert qui, par le jeu de fonctions d'authentification et d'autorisation, permet de sécuriser la communication d'identités d'une entreprise à l'autre. Il sert principalement à établir une authentification unique (SSO) entre un fournisseur d'identités (IDP) et un prestataire de services (SP). Lorsqu'un IdP (un employeur, par exemple) et un fournisseur de services (une société SaaS, par exemple) implémentent le protocole SAML, ils peuvent facilement authentifier les utilisateurs accrédités chez l’IdP pour qu'ils puissent utiliser les services.
Dans un premier temps, l'utilisateur tente d'accéder au prestataire de services via une URL ou un lien vers un portail. Le logiciel de fédération d'identité de l'IdP active et confirme ensuite l'identité de l'utilisateur. L'IdP transmet l'information au même logiciel utilisé chez le prestataire de services. Le message tokenisé contient toutes les informations relatives à l'utilisateur, notamment ses autorisations et les groupes auxquels il appartient. Le logiciel de fédération d'identité du prestataire de services vérifie alors que le message provient d'un IdP de confiance, puis crée une session utilisateur dans l'application.
Pourquoi utiliser le protocole SAML ?
Le protocole SAML présente de nombreux avantages pour les IdP, les utilisateurs et les fournisseurs de services.
Côté IdP, il réduit les tâches administratives en éliminant la réinitialisation des mots de passe. Il renforce également la sécurité en centralisant la gestion des authentifications et des accès. Il élimine enfin les coûts de développement associés aux méthodes d'authentification unique (SSO). L'utilisation croissante d'applications SaaS peut relever du casse-tête pour l'équipe IT qui, lorsqu'un employé quitte l'entreprise ou change de poste, doit supprimer ou modifier son compte et ses droits d'accès. Grâce au protocole SAML, chaque utilisateur peut être géré à l'aide d'un identifiant unique, créé en interne. SAML limite également les problèmes de sécurité en contrant les attaques par phishing et les tentatives de vol d'identifiants.
Côté utilisateur final, l'accès aux services externes est parfaitement fluide. Lorsqu'il se connecte par authentification unique, l'utilisateur accède à toutes les applications dont il a besoin, sans avoir à renouveler la procédure pour chaque prestataire de services.
Enfin, en ce qui concerne les fournisseurs de services, le protocole SAML accroît l'adoption et l’usage en simplifiant les accès. Les collaborateurs éprouvant des difficultés à se connecter à différentes applications sont en effet très prompts à contourner ces dernières. SAML limite également les problèmes de sécurité pour les fournisseurs de services, qui n'ont pas à stocker les identifiants de connexion de chaque utilisateur — ce qui limite considérablement les failles à grande échelle, avec fuite de données sensibles.
Le seul inconvénient du protocole SAML est que nombre de produits de fédération et de gestion des accès compliquent sa configuration. Chaque intégration SAML peut en effet exiger plusieurs semaines ou mois de travail, selon la complexité ou la spécificité des exigences des fournisseurs de services en la matière. Toutefois, certains produits de gestion des accès plus récents simplifient la procédure et prennent même en charge des centaines d'applications pré-intégrées. Avec un simple assistant de configuration et des intégrations à jour, le protocole SAML peut être facile à implémenter et fiable. Résultat : les équipes IT peuvent se concentrer sur des missions stratégiques, trouver de nouveaux axes d'amélioration de l'efficacité et s'adapter à l'évolution de l'activité sans crouler sous les demandes d'assistance.
Par où commencer ?
La prise en main est très simple. Outre l'outil de validation SAML d'Okta, il existe de nombreux toolkits OpenSource SAML pour les fournisseurs de services dans différents langages de programmation. Et si vous souhaitez étendre le support à l'ensemble des divisions (et bénéficier ainsi d'une sécurité évolutive), vous pouvez tester gratuitement notre solution complète pendant 30 jours.
Ressources connexes :
- Documentation SAML
- Démonstration produit | Intégrations SAML, OpenID Connect et IdP partenaires
- Démonstration produit | Intégrations SAML d'applications on-premise et de configurations prédéfinies