Introduction
La gestion des identités chez Steeple rassemble deux domaines différents mais complémentaires: l’authentification des collaborateurs d’une part et la gestion de leur identité et de leurs permissions d’autre part.
L’authentification est le mécanisme par lequel une personne peut prouver que l’identité qu’elle prétend être la sienne est effectivement la sienne. Steeple gère deux méthodes d’authentification, la méthode par couple (adresse e-mail, mot de passe) et l’authentification unique. Ce document présente l’authentification unique.
La gestion des identités et permissions consiste d’une part en la gestion de “l'état civil” d’un collaborateur (son prénom, nom, email, date de naissance, etc.) et d’autre part des permissions avec lesquelles il peut interagir avec une communauté donnée. On nomme approvisionnement le processus par lequel une organisation peut ainsi gérer ses collaborateurs et ce document présente le mode d’approvisionnement dit automatique.
Authentification unique
L’authentification unique (en anglais, Single Sign-On, ou SSO) est une méthode permettant à un collaborateur d’authentifier son identité auprès de différentes applications informatiques à l’aide d’un seul mécanisme d’authentification, géré par une entité unique et réputée sécurisée.
Par exemple, si votre entreprise utilise Microsoft Azure AD comme fournisseur d’identités numériques pour vos employés, alors vous pouvez faire en sorte que ces identités soient utilisées au sein de votre organisation Steeple, et ainsi éviter à vos employées de devoir créer explicitement une autre identité pour appartenir à cette organisation.
Le SSO vous permet donc de garantir que l’accès aux comptes Steeple de vos employés est protégé de manière aussi sécurisée que celle qui leur permet d’accéder à leur compte d’entreprise. Il vous permet également de configurer qui peut accéder à Steeple directement au sein de votre fournisseur d’identités, permettant ainsi une gestion plus simple et automatisée de votre organisation Steeple.
L’authentification de l’identité d’un collaborateur entraîne la création d’une session, qui représente la période de temps durant laquelle cette authentification est valable, et donc durant laquelle il peut utiliser le service sans avoir besoin de s’authentifier à nouveau. Une session peut être interrompue de manière délibérée par le collaborateur mais, sans action de ce dernier, elle expire automatiquement au bout d’un certain temps. Le collaborateur est alors invité à ré-authentifier son identité à l’aide du SSO.
Notez que dans l’implémentation du SSO par Steeple, une fois établie, une session Steeple est indépendante du fournisseur d’identités ayant permis l’authentification. En particulier, le fournisseur d’identité ne pourra pas déclencher l’interruption de la session de son propre fait (seul le collaborateur ou l’expiration de la session le peuvent). En d’autres termes, Steeple n’implémente pas la déconnexion unique (en anglais, Single Logout, ou SLO).
Configuration du SSO
Steeple implémente le SSO à l’aide du protocole SAML V2.0.
Dans ce contexte, pour comprendre le fonctionnement de ce SSO, il convient de distinguer trois acteurs principaux:
- le fournisseur d’identité (Azure AD, Okta, ADFS, Ping Identity, etc.)
- le fournisseur de service (Steeple)
- le collaborateur (une personne)
Le collaborateur cherche à authentifier son identité auprès du fournisseur de service pour en obtenir l’accès. Le fournisseur de service renvoie alors le collaborateur au fournisseur d’identité en demandant à ce dernier de procéder à une authentification de le collaborateur par ses propres moyens. Si le fournisseur d’identité peut authentifier le collaborateur , alors il le renvoie au fournisseur de service accompagné de données garantissant certains détails de son identité, ce qui vaut authentification. Le fournisseur de service est désormais en mesure de traiter l’accès de le collaborateur à son service.
Il ressort de ce fonctionnement que fournisseur d’identité et fournisseur de service (respectivement nommés IdP et SP dans le reste de ce document) doivent pouvoir non seulement s’adresser l’un à l’autre mais en plus pouvoir se reconnaître comme interlocuteurs de confiance. Une configuration cohérente de l’un et de l’autre est donc obligatoire.
Bien qu’il s’agisse d’un protocole standard, les termes utilisés et les étapes de cette configuration entre IdP et SP peuvent varier d’un fournisseur d’identités à un autre.
Nous vous renvoyons au document dédié pour la configuration en fonction de votre fournisseur d’identité: