Blog

Authentification SAML

Authentification SAML

Guider / SAML

Authentification SAML

Qu'est-ce que l'authentification SAML ?

Le langage SAML (Security Assertion Markup Language) est une méthode standard pour indiquer aux applications et services externes qu'un utilisateur est la même personne qu'il prétend être. Avec SAML, l'authentification unique (SSO) est possible car elle fournit un moyen d'authentifier l'utilisateur une fois et communique cette authentification à plusieurs autres applications. La dernière version de SAML est SAML 2.0.

Pour comprendre avec un exemple simple. Vous venez de rejoindre une nouvelle société, ABC. L'entreprise vous a donné une adresse e-mail professionnelle et un accès à un tableau de bord. Lorsque vous vous connectez à ce tableau de bord avec vos informations d'identification, vous voyez toutes les icônes des services externes que l'entreprise utilise dans le tableau de bord : Google Apps, AWS, Salesforce, Azure Office 365, Jira, etc.

Il vous suffit de cliquer sur l'icône AWS et vous êtes connecté à AWS sans jamais saisir d'informations d'identification. Waouh magique !!

Authentification SAML

C'est là que le SAML entre en action, et les utilisateurs n'ont pas à s'authentifier à chaque fois.

SAML est une norme ouverte basée sur XML pour le transfert de données d'identité entre un fournisseur d'identité (IdP) et un fournisseur de services (SP).

Fournisseur d'identité — Fournit l' authentification et transmet l'identité et le niveau d'autorisation de l'utilisateur au fournisseur de services.

Fournisseur de services — Fait confiance au fournisseur d'identité et autorise l'utilisateur à accéder à la ressource demandée.

Dans l'exemple ci-dessus, le fournisseur d'identité serait l'IdP que la société ABC utilise, c'est-à-dire WebADM de RCDevs. Le fournisseur de services serait AWS.

Flux de travail d'authentification SAML

Plongeons dans la technicité du fonctionnement de SAML. Pour l'authentification utilisant le protocole SAML, généralement, l'utilisateur suit la procédure ci-dessous :

Flux de travail d'authentification SAML

1) L'utilisateur, via un navigateur Web, demande l'accès à l'application/SP sécurisé.

2) Le fournisseur de services redirige vers un fournisseur d'identité spécifique (enregistré auprès du fournisseur de services) pour l'authentification avec la demande d'authentification SAML.

3) Le navigateur fait des demandes d'authentification au fournisseur d'identité enregistré. L'IdP valide la demande SAML et fournit à l'utilisateur/navigateur un formulaire de connexion.

4) Une fois la vérification des informations d'identification/ou l'authentification réussie, le fournisseur d'identité générera une assertion XML vérifiant l'identité de l'utilisateur et la relaiera au navigateur. 

5) Le navigateur transmet l'insertion XML au fournisseur de services, en configurant des cookies dans le navigateur.

6) L'utilisateur/navigateur obtient l'accès puisqu'il est maintenant authentifié.

5 avantages de l'authentification unique (SSO) SAML dans l'entreprise

1) Plateforme impartiale

Le schéma standard SAML est développé pour interagir avec n'importe quel système indépendant de l'exécution. Il fait abstraction du cadre de sécurité de l'architecture de la plate-forme et de toute approche de fournisseur spécifique. C'est donc une approche plus ouverte de l'architecture et de la fédération des identités.

2) Meilleure sécurité

SAML fournit un point d'authentification unique qui a lieu chez le fournisseur d'identité. Il garantit que les informations d'identification sont uniquement envoyées à l'IdP directement depuis le fournisseur de services.

3) Expérience utilisateur améliorée

Les individus doivent simplement se connecter une fois pour avoir accès à plusieurs fournisseurs de services. Cela permet un processus d'authentification beaucoup plus rapide et beaucoup moins d'attentes de l'utilisateur pour se souvenir de plusieurs identifiants de connexion pour chaque application. Dans le scénario ci-dessus, cet utilisateur aurait pu cliquer sur l'une des différentes icônes de son tableau de bord et être immédiatement connecté sans saisir d'informations d'identification supplémentaires.

4) Coûts réduits pour les fournisseurs de services 

Avec SAML, vous n'avez pas à gérer les informations de compte sur plusieurs services. Le fournisseur d'identité supporte cette charge.

5) Libre couplage des répertoires

SAML n'a pas besoin que les données utilisateur soient conservées et synchronisées entre les répertoires.

Authentification SAML avec la solution de sécurité RCDevs

Lorsqu'il s'agit d'implémenter SAML, le WebADM de RCDevs est le  Fournisseur d'identité (IDP), qui fonctionne avec différents fournisseurs de services (SP) dans OpenOTP pour les processus d'authentification.

Télécharger et configurez WebADM gratuitement.

L'installation de SAML IdP est simple et consiste uniquement à exécuter l'auto-installateur et à configurer l'application dans WebADM.

Tout d'abord, les clients SAML (fournisseurs de services) doivent connaître les points de terminaison SAML IdP. La plupart des clients accepteront la configuration automatique avec une URL de métadonnées basée sur XML.

Vous trouverez des configurations client telles que :

  • L'identificateur d'entité SAML de l'IdP.
  • Le certificat du serveur SAML.
  • L'URL SingleSignOnService.
  • L'URL du service de déconnexion unique.

L'image suivante montre une liste des fournisseurs de services pris en charge par RCDevs mais ce n'est pas une liste exhaustive, toutes les applications prenant en charge l'authentification SAML 2 sont prises en charge par RCDevs IDP. Vous avez également la possibilité de configurer un fournisseur de services personnalisé dans le tableau de bord.

Configuration SAML

Par exemple, configurons WebADM pour gérer les authentifications avec Amazon Web Service (AWS), mais vous pouvez suivre avec n'importe quel SP de votre choix.

Authentification SAML sur AWS

Dans la console AWS, nous ajoutons WebADM c'est-à-dire l'IdP.

Authentification SAML sur AWS

Ensuite, nous créons des rôles et sélectionnons notre fournisseur SAML

Authentification SAML sur AWS

Nous sélectionnons une politique d'autorisation et ajoutons des noms pour créer des rôles.

Authentification SAML sur AWS

Une fois cela fait, nous devons activer l'authentification initiée par l'IdP pour AWS.

Configurer WebADM IDP pour AWS

Nous ouvrons la configuration dans l'interface graphique WebADM et activons l'application SSO et AmazonWS.

Authentification SAML sur AWS

Nous sélectionnons l'utilisateur test et cliquons sur les paramètres WebADM. Nous sélectionnons OpenID, ajoutons des noms de rôle AWS et appliquons. Nous pouvons également ajouter le rôle AWS à un ou plusieurs groupes LDAP afin de permettre aux utilisateurs d'appartenir à des groupes spécifiques d'accéder au rôle AWS.

Essai

Pour tester, ouvrez l'application Web et connectez-vous avec l'utilisateur :

Authentification SAML sur AWS - Test

Sélectionnez Application SSO, cliquez sur Amazon AWS.

Authentification SAML sur AWS - Test

Ça y est, nous sommes maintenant connectés à AWS.

Par rapport aux autres implémentations SAML, la solution SSO de RCDevs est très simple à mettre en œuvre : à condition d'avoir déjà un serveur WebADM fonctionnel avec OpenOTP et/ou TiQR, la configuration consiste simplement à ajouter la WebApp OpenID/SAML dans WebADM. 

Authentification SAML sur AWS

Vérifiez les RCDev's Documentation pour plus de détails.

Plus de configuration SAML de RCDevs :

Authentification SAML initiée par le SP

Authentification SAML pour Apache Guacamole

Authentification SAML pour GitLab

Authentification SAML pour MS Office 365/Azure

Authentification SAML pour Slack

Pour plus d'informations contact nous.

fr_FRFR