Introduction
La gestion des identités chez Steeple rassemble deux domaines différents mais complémentaires: l’authentification des utilisateurs d’une part et la gestion de leur identité et de leurs permissions d’autre part.
L’authentification est le mécanisme par lequel une personne peut prouver que l’identité qu’elle prétend être la sienne est effectivement la sienne. Steeple gère deux méthodes d’authentification, la méthode par couple (adresse e-mail, mot de passe) et l’authentification unique. Ce document présente l’authentification unique.
La gestion des identités et permissions consiste d’une part en la gestion de “l'état civil” d’un utilisateur (son prénom, nom, email, date de naissance, etc.) et d’autre part des permissions avec lesquelles il peut interagir avec une communauté donnée. On nomme approvisionnement le processus par lequel une organisation peut ainsi gérer ses utilisateurs et ce document présente le mode d’approvisionnement dit automatique.
Authentification unique
L’authentification unique (en anglais, Single Sign-On, ou SSO) est une méthode permettant à un utilisateur d’authentifier son identité auprès de différentes applications informatiques à l’aide d’un seul mécanisme d’authentification, géré par une entité unique et réputée sécurisée.
Par exemple, si votre entreprise utilise Microsoft Azure AD comme fournisseur d’identités numériques pour vos employés, alors vous pouvez faire en sorte que ces identités soient utilisées au sein de votre organisation Steeple, et ainsi éviter à vos employées de devoir créer explicitement une autre identité pour appartenir à cette organisation.
Le SSO vous permet donc de garantir que l’accès aux comptes Steeple de vos employés est protégé de manière aussi sécurisée que celle qui leur permet d’accéder à leur compte d’entreprise. Il vous permet également de configurer qui peut accéder à Steeple directement au sein de votre fournisseur d’identités, permettant ainsi une gestion plus simple et automatisée de votre organisation Steeple.
L’authentification de l’identité d’un utilisateur entraîne la création d’une session, qui représente la période de temps durant laquelle cette authentification est valable, et donc durant laquelle il peut utiliser le service sans avoir besoin de s’authentifier à nouveau. Une session peut être interrompue de manière délibérée par l’utilisateur mais, sans action de ce dernier, elle expire automatiquement au bout d’un certain temps. L’utilisateur est alors invité à ré-authentifier son identité à l’aide du SSO.
Notez que dans l’implémentation du SSO par Steeple, une fois établie, une session Steeple est indépendante du fournisseur d’identités ayant permis l’authentification. En particulier, le fournisseur d’identité ne pourra pas déclencher l’interruption de la session de son propre fait (seul l’utilisateur ou l’expiration de la session le peuvent). En d’autres termes, Steeple n’implémente pas la déconnexion unique (en anglais, Single Logout, ou SLO).
Configuration du SSO
Steeple implémente le SSO à l’aide du protocole SAML V2.0.
Dans ce contexte, pour comprendre le fonctionnement de ce SSO, il convient de distinguer trois acteurs principaux:
- le fournisseur d’identité (Azure AD, Okta, ADFS, Ping Identity, etc.)
- le fournisseur de service (Steeple)
- l’utilisateur (une personne)
L’utilisateur cherche à authentifier son identité auprès du fournisseur de service pour en obtenir l’accès. Le fournisseur de service renvoie alors l’utilisateur au fournisseur d’identité en demandant à ce dernier de procéder à une authentification de l’utilisateur par ses propres moyens. Si le fournisseur d’identité peut authentifier l’utilisateur, alors il le renvoie au fournisseur de service accompagné de données garantissant certains détails de son identité, ce qui vaut authentification. Le fournisseur de service est désormais en mesure de traiter l’accès de l’utilisateur à son service.
Il ressort de ce fonctionnement que fournisseur d’identité et fournisseur de service (respectivement nommés IdP et SP dans le reste de ce document) doivent pouvoir non seulement s’adresser l’un à l’autre mais en plus pouvoir se reconnaître comme interlocuteurs de confiance. Une configuration cohérente de l’un et de l’autre est donc obligatoire.
Bien qu’il s’agisse d’un protocole standard, les termes utilisés et les étapes de cette configuration entre IdP et SP peuvent varier d’un fournisseur d’identités à un autre.
Nous vous renvoyons au document dédié pour la configuration en fonction de votre fournisseur d’identité: