Vous avez pris l’avion récemment ? Lorsque vous avez présenté votre carte d’embarquement et votre document d’identité, la compagnie aérienne a vérifié votre nom et numéro de passeport dans une base de données pour savoir si vous aviez bien le droit de monter à bord. Imaginez maintenant que les hôtesses n’aient pas eu accès à un annuaire répertoriant les passagers. Sans ce point de comparaison, la vérification des informations personnelles est inutile. Le système perd tout son sens.

Le même principe vaut pour l’authentification unique (Single Sign On SSO). Si vous ne pouvez pas accéder à des données utilisateurs complètes structurées et sécurisées, vous ne pouvez pas comparer les informations d'authentication d'un utilisateur, et donc valider son identité et lui octroyer le niveau d’accès adapté. La mise en œuvre d'un service d’annuaire solide est un élément fondamental de l’authentification unique (SSO). Il existe deux protocoles d’accès principaux : ADFS (Active Directory Federation Services) et LDAP (Lightweight Directory Access Protocol). Voyons plus en détail comment ils fonctionnent et les différences entre les deux.

Services ADFS (Active Directory Federation Services)

Microsoft a développé ADFS pour étendre les identités d’entreprise au-delà du pare-feu. Ces services offrent un accès via l’authentification unique aux serveurs cloud. ADFS utilise un modèle d’autorisation du contrôle des accès basé sur les demandes, qui implique d’authentifier les utilisateurs via des cookies et le protocole SAML (Security Assertion Markup Language).

En d’autres termes, ADFS est un service d’émission de jetons de sécurité (STS, ou Security Token Service), sur lequel vous pouvez configurer des relations d’approbation autorisant les comptes OpenID. Cela évite de devoir configurer des identifiants d’enregistrement et utilisateurs séparés pour les nouveaux utilisateurs : ceux-ci peuvent simplement utiliser leurs identifiants OpenID existants.

ADFS est un outil pratique, mais qui présente quelques inconvénients :

• Son utilisation n’est pas commode en cas d’intégration avec des applications mobiles cloud ou non Microsoft.
• Les ressources IT doivent consacrer du temps à son installation, sa configuration et sa maintenance.
• Il n’est pas très évolutif et exige des installations d’applications fastidieuses.

Si ADFS est proposé gratuitement par Microsoft, son utilisation peut présenter des coûts dissimulés élevés, p. ex. pour sa maintenance.

Protocole LDAP

LDAP est un sous-ensemble allégé du protocole d’accès aux annuaires X.500, qui existe depuis le début des années 1990. Développé par l’Université du Michigan en tant que protocole logiciel d’authentification des utilisateurs dont les données sont stockées sur un réseau Active Directory, il permet aux entreprises de localiser des ressources sur Internet ou sur leur intranet. Avec l’authentification unique LDAP, les administrateurs système peuvent définir des autorisations pour contrôler l’accès à la base de données LDAP et ainsi garantir la confidentialité des données.

Tandis qu’ADFS est axé sur les environnements Windows, LDAP est plus flexible, de par sa compatibilité avec d’autres types de systèmes d’exploitation, comme Linux/Unix.

Ce protocole est idéal lorsque vous devez accéder fréquemment aux données, mais que vous n’avez pas souvent besoin de les modifier ou d’en ajouter. Autrement dit, LDAP fonctionne particulièrement bien dans le cadre de la gestion des mots de passe, car il peut détecter ceux qui arrivent à expiration, valider leur qualité et bloquer les comptes après un trop grand nombre de tentatives de connexion infructueuses. En outre, un agent LDAP peut authentifier les utilisateurs en temps réel, en comparant instantanément les données qu’ils présentent à celles stockées dans la base de données LDAP. Ainsi, les données sensibles n’ont plus besoin d’être stockées dans le cloud.

Ces atouts ne sont que quelques-unes des raisons pour lesquelles nous préférons LDAP. La solution SSO LDAP d’Okta simplifie le traitement de l’authentification pour vos utilisateurs, en offrant un processus efficace et sécurisé associé aux politiques et aux statuts utilisateurs définis dans Active Directory.