Demandez une démo

Incontournable de la gestion d’authentification, SAML – Security Assertion Markup Language – est le standard informatique le plus couramment utilisé sur le marché des logiciels de fédération d’identité.

Chez SharingCloud, nous nous appuyons sur cette norme sécurisée pour fédérer l’authentification de la grande majorité de nos clients sur notre plateforme Instant Suite.

Découvrons ensemble plus en détail de quoi il s’agit.

 

SAML, facilitateur d’authentification

Le Security Assertion Markup Language appelé plus communément SAML, est un protocole normé, ouvert et standardisé qui va permettre, à travers les multiples logiciels de fédération d’identité, la mise en place d’une connexion entre deux briques essentielles de la fédération d’authentification, à savoir :

Tout l’intérêt de la fédération de l’identité à travers SAML est de permettre au Service Provider de déléguer la partie authentification à l’Identity Provider et donc de proposer au client un portail d’authentification unique propre à son organisation.

Ainsi, SAML offre la possibilité d’une authentification unique (souvent appelé SSO -Single Sign-On) pour les services que le client utilise au quotidien. En effet, l’authentification SAML est un SSO pour les différents outils d’un client, mais aussi pour les différents services SharingCloud.

 

Concrètement, comment ça marche ?

Pour comprendre le fonctionnement de SAML, il faut avoir à l’esprit que 3 acteurs majeurs rentrent en compte au cours du processus d’authentification : l’Identity Provider, le Service Provider mais également l’Utilisateur.

En effet, l’utilisateur occupe une place prépondérante dans cette démarche. C’est l’utilisateur qui, par le biais de son navigateur, relie les informations de part et d’autre à l’aide de jetons sécurisés.

Il n’y a de ce fait, pas de dialogue direct entre l’IdP et le SP mais plutôt des requêtes et des réponses cryptées, validées par certification, qui sont relayés par le navigateur de l’utilisateur.

Pour mieux vous éclairer sur ce concept, voici ci-dessous plus en détail un schéma explicatif des différentes étapes relatives à l’authentification et l’identification d’un utilisateur sur Instant Suite par le biais de SAML.

 

Etape 1 : L’utilisateur tente d’accéder à Instant Suite (Service Provider) ou l’une de ses applications via une URL.

Etape 2 : Instant Suite (SP) génère une requête d’authentification SAML sous la forme de message encodée, intégré à l’URL du service d’authentification du partenaire.

Etape 3 : Instant Suite envoie l’URL d’authentification contenant la requête vers le navigateur. Le navigateur le transfert à l’Identity Provider, soit le partenaire.

Etape 4 : Une fois l’URL reçu, le Partenaire (IdP) décode la requête SAML et procède à l’authentification de l’utilisateur.

Etape 5 : Le partenaire va alors à son tour générer une réponse SAML encodée, contenant toutes les informations relatives à la création d’une session/identification de l’utilisateur telles que son matricule, son nom, son prénom ou encore son adresse mail. Il retourne la réponse au navigateur, qui le transfert à son tour au service ACS d’Instant Booking.

Etape 6 : Le service ACS (norme possédant un URL de retour pour l’envoi de traitement d’information) vérifie et valide la réponse SAML, puis le redirige vers l’URL de départ.

Etape 7 : L’utilisateur est désormais connecté à Instant Suite !

Dans le cas où l’utilisateur n’existe pas dans la gestion des comptes du SP, il est nécessaire de le provisionner. Instant Suite est en mesure d’effectuer cette action automatiquement, en créant les comptes utilisateurs lors du processus d’authentification. Cela se fait en fonction du besoin des clients à l’aide des informations contenues dans la réponse cryptée envoyée par l’IdP.

Par ailleurs, dans le cas où la connexion SSO est mise en place et activée, l’authentification s’opère de manière automatique et en toute sécurité !

 

Les prérequis pour la mise en place SAML

Une configuration spécifique est requise en amont pour l’implémentation du SAML au sein des différentes organisations. Etant normé et standardisé, SAML est régi par la création d’une fédération.

Pour créer la fédération, deux points essentiels sont à prendre en compte :

La mise à jour du certificat client sur nos infrastructures, nécessitant à l’origine une synchronisation entre les interlocuteurs techniques, est aujourd’hui possible simplement et automatiquement, grâce aux développements réalisées par nos équipes R&D et Infrastructure.

Cette mise à jour automatique permet d’éviter toutes coupures du service au moment de l’expiration du certificat initialement mis en place.

Ce mécanisme de fédération et de certificat est commun à tous les outils qui utilisent SAML.

 

Des avantages pour toutes les parties prenantes

Par ailleurs, SAML permet de limiter considérablement les failles de système de sécurité (en l’occurrence de phishing ou de hacking…) car les mots de passe et autres données sensibles ne sont jamais communiqués. En effet, seuls les messages cryptés permettent l’authentification de l’utilisateur.

Autrement, les données cryptées transmises par l’IdP constituent une véritable mine d’or pour comprendre nos utilisateurs et mieux cibler leur besoin.

En bref SAML

La fédération à travers la norme SAML, c’est :

Dans le cadre d’un partenariat avec Microsoft, SharingCloud propose une application sur le Cloud Azure pour l’intégration de SAML dans vos organisations. C’est un moyen très simple et efficace pour mettre en place l’authentification à notre solution Instant Suite via Azure AD.

Cher Client, n’hésitez donc pas à contacter votre Key Account Manager ou notre Support si vous souhaitez mettre en œuvre une fédération avec votre IdP.

Pour finir, deux liens qui pourraient vous être utiles :

Restons
connectés !

S’inscrire

Recevez notre newsletter mensuelle sur les actualités de SharingCloud, nos nouveaux clients, nos projets.

Newsletter

La protection de vos données personnelles est importante pour nous.
Consultez notre page RGPD pour avoir davantage d’informations.

SharingCloud ®2022