Incontournable de la gestion d’authentification, SAML – Security Assertion Markup Language – est le standard informatique le plus couramment utilisé sur le marché des logiciels de fédération d’identité.
Chez SharingCloud, nous nous appuyons sur cette norme sécurisée pour fédérer l’authentification de la grande majorité de nos clients sur notre plateforme Instant Suite.
Découvrons ensemble plus en détail de quoi il s’agit.
SAML, facilitateur d’authentification
Le Security Assertion Markup Language appelé plus communément SAML, est un protocole normé, ouvert et standardisé qui va permettre, à travers les multiples logiciels de fédération d’identité, la mise en place d’une connexion entre deux briques essentielles de la fédération d’authentification, à savoir :
- L’Identity Provider (IdP) soit le fournisseur d’identité (coté Client)
- Le Service Provider (SP) soit le fournisseur de service (coté Instant Suite)
Tout l’intérêt de la fédération de l’identité à travers SAML est de permettre au Service Provider de déléguer la partie authentification à l’Identity Provider et donc de proposer au client un portail d’authentification unique propre à son organisation.
Ainsi, SAML offre la possibilité d’une authentification unique (souvent appelé SSO -Single Sign-On) pour les services que le client utilise au quotidien. En effet, l’authentification SAML est un SSO pour les différents outils d’un client, mais aussi pour les différents services SharingCloud.
Concrètement, comment ça marche ?
Pour comprendre le fonctionnement de SAML, il faut avoir à l’esprit que 3 acteurs majeurs rentrent en compte au cours du processus d’authentification : l’Identity Provider, le Service Provider mais également l’Utilisateur.
En effet, l’utilisateur occupe une place prépondérante dans cette démarche. C’est l’utilisateur qui, par le biais de son navigateur, relie les informations de part et d’autre à l’aide de jetons sécurisés.
Il n’y a de ce fait, pas de dialogue direct entre l’IdP et le SP mais plutôt des requêtes et des réponses cryptées, validées par certification, qui sont relayés par le navigateur de l’utilisateur.
Pour mieux vous éclairer sur ce concept, voici ci-dessous plus en détail un schéma explicatif des différentes étapes relatives à l’authentification et l’identification d’un utilisateur sur Instant Suite par le biais de SAML.
Etape 1 : L’utilisateur tente d’accéder à Instant Suite (Service Provider) ou l’une de ses applications via une URL.
Etape 2 : Instant Suite (SP) génère une requête d’authentification SAML sous la forme de message encodée, intégré à l’URL du service d’authentification du partenaire.
Etape 3 : Instant Suite envoie l’URL d’authentification contenant la requête vers le navigateur. Le navigateur le transfert à l’Identity Provider, soit le partenaire.
Etape 4 : Une fois l’URL reçu, le Partenaire (IdP) décode la requête SAML et procède à l’authentification de l’utilisateur.
Etape 5 : Le partenaire va alors à son tour générer une réponse SAML encodée, contenant toutes les informations relatives à la création d’une session/identification de l’utilisateur telles que son matricule, son nom, son prénom ou encore son adresse mail. Il retourne la réponse au navigateur, qui le transfert à son tour au service ACS d’Instant Booking.
Etape 6 : Le service ACS (norme possédant un URL de retour pour l’envoi de traitement d’information) vérifie et valide la réponse SAML, puis le redirige vers l’URL de départ.
Etape 7 : L’utilisateur est désormais connecté à Instant Suite !
Dans le cas où l’utilisateur n’existe pas dans la gestion des comptes du SP, il est nécessaire de le provisionner. Instant Suite est en mesure d’effectuer cette action automatiquement, en créant les comptes utilisateurs lors du processus d’authentification. Cela se fait en fonction du besoin des clients à l’aide des informations contenues dans la réponse cryptée envoyée par l’IdP.
Par ailleurs, dans le cas où la connexion SSO est mise en place et activée, l’authentification s’opère de manière automatique et en toute sécurité !
Les prérequis pour la mise en place SAML
Une configuration spécifique est requise en amont pour l’implémentation du SAML au sein des différentes organisations. Etant normé et standardisé, SAML est régi par la création d’une fédération.
Pour créer la fédération, deux points essentiels sont à prendre en compte :
- La définition des attributs de type nom, prénom, mail, matricule ou autre… qu’on est en mesure de s’échanger entre l’IdP et le SP.
- L’échange de certificat entre l’IdP et le SP. En effet, chacun doit fournir un certificat à son homologue pour permettre les échanges d’information. Ce certificat est soumis à une expiration (annuelle chez la majorité des clients).
La mise à jour du certificat client sur nos infrastructures, nécessitant à l’origine une synchronisation entre les interlocuteurs techniques, est aujourd’hui possible simplement et automatiquement, grâce aux développements réalisées par nos équipes R&D et Infrastructure.
Cette mise à jour automatique permet d’éviter toutes coupures du service au moment de l’expiration du certificat initialement mis en place.
Ce mécanisme de fédération et de certificat est commun à tous les outils qui utilisent SAML.
Des avantages pour toutes les parties prenantes
- Pour l’utilisateur final : Plus besoin de mots de passe ! SAML permet à l’utilisateur de s’authentifier automatiquement via un système de gestion d’identité qui est propre à son organisation, connu et maitrisé. Il accède à toutes les applications régies par SAML de manière fluide, sans renouvellement aucun de procédure d’authentification entre chaque application.
- Pour le partenaire administrateur (IdP) : le protocole est simple à mettre en œuvre. Il nécessite simplement la création d’un identifiant unique pour l’utilisateur, qui peut être déployé et communiqué à chaque SP lors de l’identification et l’authentification de ce dernier sur une plateforme ou application.
Par ailleurs, SAML permet de limiter considérablement les failles de système de sécurité (en l’occurrence de phishing ou de hacking…) car les mots de passe et autres données sensibles ne sont jamais communiqués. En effet, seuls les messages cryptés permettent l’authentification de l’utilisateur.
- Pour la solution Instant Suite de SharingCloud (SP) : SAML est un facilitateur d’accès et d’utilisation de l’ensemble de nos services Instant Suite. Il permet le déploiement des applications de manière rapide et sécurisé.
Autrement, les données cryptées transmises par l’IdP constituent une véritable mine d’or pour comprendre nos utilisateurs et mieux cibler leur besoin.
En bref SAML
La fédération à travers la norme SAML, c’est :
- Un protocole standardisé et sécurisé
- Le standard informatique le plus courant sur le marché et donc connu et maitrisé des administrateurs
- Une procédure extrêmement simplifiée pour toutes les parties prenantes
- La proposition d’un parcours d’authentification simple et rapide, car il est connu par les utilisateurs/collaborateurs
Dans le cadre d’un partenariat avec Microsoft, SharingCloud propose une application sur le Cloud Azure pour l’intégration de SAML dans vos organisations. C’est un moyen très simple et efficace pour mettre en place l’authentification à notre solution Instant Suite via Azure AD.
Cher Client, n’hésitez donc pas à contacter votre Key Account Manager ou notre Support si vous souhaitez mettre en œuvre une fédération avec votre IdP.
Pour finir, deux liens qui pourraient vous être utiles :
- La documentation sur la procédure de mise en place de SAML via Microsoft : https://docs.microsoft.com/fr-fr/azure/active-directory/saas-apps/sharingcloud-tutorial
- L’application : https://azuremarketplace.microsoft.com/fr-FR/marketplace/apps/aad.sharingcloud?tab=overview