Qu’est-ce que SAML ?
Découvrez comment le protocole standard du secteur, le langage SAML (Security Assertion Markup Language), renforce les mesures de sécurité et améliore les expériences de connexion.
Définition de SAML
SAML est la technologie sous-jacente qui permet aux utilisateurs de se connecter une seule fois à l'aide d'un ensemble d'informations d'identification et d'accéder à plusieurs applications. Les fournisseurs d'identité, comme Microsoft Entra ID, vérifient les utilisateurs lorsqu'ils se connectent, puis utilisent SAML pour transmettre ces données d'authentification au fournisseur de services qui exécute le site, le service ou l'application auquel les utilisateurs souhaitent accéder.
À quoi sert SAML ?
SAML contribue à renforcer la sécurité des entreprises et à simplifier le processus de connexion pour les employés, les partenaires et les clients. Les organisations l'utilisent pour activer l'authentification unique, qui permet aux utilisateurs d'utiliser un seul nom d'utilisateur et un seul mot de passe pour accéder à plusieurs sites, services et applications. Réduire le nombre de mots de passe que les gens doivent mémoriser est non seulement plus facile pour eux, mais cela réduit également le risque que l'un de ces mots de passe soit volé. Les organisations peuvent également définir des normes de sécurité pour les authentifications sur leurs applications compatibles SAML. Par exemple, ils peuvent exiger une authentification multi-facteur avant que les utilisateurs accèdent au réseau et aux applications sur site, comme Salesforce, Concur et Adobe.
SAML aide les organisations à répondre aux cas d'utilisation suivants :
Unifiez la gestion des identités et des accès :
En gérant l'authentification et l'autorisation dans un seul système, les équipes informatiques peuvent réduire considérablement le temps consacré au provisionnement des utilisateurs et à l'attribution des identités.
Activez Confiance nulle :
Une stratégie de sécurité Confiance nulle exige que les organisations vérifient chaque demande d'accès et limitent l'accès aux informations sensibles aux seules personnes qui en ont besoin. Les équipes techniques peuvent utiliser SAML pour définir des politiques, telles que l'authentification multi-facteur et l'accès conditionnel, à toutes leurs applications. Ils peuvent également activer des mesures de sécurité plus strictes, telles que forcer la réinitialisation du mot de passe, lorsque le risque d’un utilisateur est élevé en fonction de son comportement, de son appareil ou de son emplacement.
Enrichissez l’expérience employé :
En plus de simplifier l'accès pour les travailleurs, les équipes informatiques peuvent également personnaliser les pages de connexion pour créer une expérience cohérente entre les applications. Les collaborateurs gagnent également du temps avec des expériences en libre-service qui leur permettent de réinitialiser facilement leurs mots de passe.
Qu’est-ce qu’un fournisseur SAML ?
Un fournisseur SAML est un système qui partage des données d'authentification et d'autorisation d'identité avec d'autres fournisseurs. Il existe deux types de fournisseurs SAML :
- Lesfournisseurs d'identité authentifient et autorisent les utilisateurs. Ils fournissent la page de connexion où les gens saisissent leurs informations d'identification. Ils appliquent également des politiques de sécurité, par exemple en exigeant une authentification multi-facteur ou une réinitialisation du mot de passe. Une fois l'utilisateur autorisé, les fournisseurs d'identité transmettent les données aux fournisseurs de services.
- Lesfournisseurs de services sont les applications et les sites Web auxquels les gens souhaitent accéder. Au lieu d'exiger que les utilisateurs se connectent individuellement à leurs applications, les fournisseurs de services configurent leurs solutions pour faire confiance à l'autorisation SAML et s'appuient sur les fournisseurs d'identité pour vérifier les identités et autoriser l'accès.
Comment fonctionne l’authentification SAML ?
Dans l'authentification SAML, les fournisseurs de services et les fournisseurs d'identité partagent les données de connexion et d'utilisateur pour confirmer que chaque personne qui demande l'accès est authentifiée. Cette procédure suit généralement les étapes suivantes :
- Un collaborateurs commence à travailler en se connectant à l’aide de la page de connexion fournie par le fournisseur d’identité.
- Le fournisseur d'identité valide que l'employé est bien celui qu'il prétend être en confirmant une combinaison de détails d'authentification, tels que le nom d'utilisateur, le mot de passe, le code PIN, l'appareil ou les données biométriques.
- L'employé lance une application de fournisseur de services, telle que Microsoft Word ou Workday.
- Le fournisseur de services communique avec le fournisseur d'identité pour confirmer que l'employé est autorisé à accéder à cette application.
- Les fournisseurs d’identité renvoient l’autorisation et l’authentification.
- L'employé accède à l'application sans se connecter une seconde fois.
Qu’est-ce que l’assertion SAML ?
L'assertion SAML est le document XML contenant des données qui confirment au fournisseur de services que la personne qui se connecte a été authentifiée.
Il en existe trois types :
- L'assertion d'authentification identifie l'utilisateur et inclut l'heure à laquelle la personne s'est connectée et le type d'authentification qu'elle a utilisé, comme un mot de passe ou une authentification multi-facteur.
- L'assertion d'attribution transmet le jeton SAML au fournisseur. Cette assertion inclut des données spécifiques sur l'utilisateur.
- Uneassertion de décision d'autorisation indique au fournisseur de services si l'utilisateur est authentifié ou s'il est refusé en raison d'un problème avec ses informations d'identification ou parce qu'il ne dispose pas des autorisations pour ce service.
SAML contre OAuth
SAML et OAuth permettent aux utilisateurs d'accéder plus facilement à plusieurs services sans se connecter à chacun séparément, mais les deux protocoles utilisent une technologie et des processus différents. SAML utilise XML pour permettre aux utilisateurs d'utiliser les mêmes informations d'identification pour accéder à plusieurs services, tandis que OAuth transmet les données d'autorisation à l'aide de JWT ou de JavaScript Object Notation.
Dans OAuth, les utilisateurs choisissent de se connecter à un service en utilisant l'autorisation d'un tiers, comme leur compte Google ou Facebook, plutôt que de créer un nouveau nom d'utilisateur ou un nouveau mot de passe pour le service. L'autorisation est passée tout en protégeant le mot de passe de l'utilisateur.
Le rôle de SAML pour les entreprises
SAML aide les entreprises à garantir à la fois productivité et sécurité sur leurs lieux de travail hybrides. Dans la mesure où de plus en plus de collaborateurs travaillent à distance, il est essentiel de leur permettre d’accéder facilement et partout aux ressources de l’entreprise. Toutefois, sans les contrôles de sécurité adaptés, un accès facile augmente les risques de violation. Avec SAML, les entreprises peuvent simplifier le processus de connexion des collaborateurs tout en appliquant des stratégies strictes telles que l’authentification multifacteur et l’accès conditionnel aux applications utilisées par leurs collaborateurs.
Pour commencer, les entreprises doivent investir dans une solution de fournisseur d’identité, telle que Microsoft Entra ID. Microsoft Entra ID protège les utilisateurs et les données avec une sécurité intégrée et unifie la gestion des identités dans une seule solution. Le libre-service et l’authentification unique permettent aux collaborateurs de rester productifs de manière simple et pratique. De plus, Microsoft Entra ID est livré avec une intégration SAML prédéfinie avec des milliers d'applications, telles que Zoom, DocuSign, SAP Concur, Workday et Amazon Web Services (AWS).
En savoir plus sur la sécurité Microsoft
Identité et accès Microsoft
Découvrez les solutions complètes d’identité et d’accès de Microsoft.
Microsoft Entra ID
Protégez votre organisation avec une solution d’identité transparente.
Authentification unique
Simplifiez l'accès à vos applications SaaS (Software as a Service), à vos applications nuage ou à vos applications sur site.
Authentification multi-facteur
Protégez votre organisation contre les violations dues à la perte ou au vol d'informations d'identification.
Accès conditionnel
Appliquez un contrôle d’accès granulaire avec des politiques adaptatives en temps réel.
Intégrations d'applications prédéfinies
Utilisez des intégrations prédéfinies pour connecter vos utilisateurs de manière plus sécurisée à leurs applications.
Blog sur l'identité et l'accès
Restez au courant des dernières avancées en matière de gestion des identités et des accès.
Foire aux questions
-
SAML comprend les composants suivants :
- Lesfournisseurs de services d'identité authentifient et autorisent les utilisateurs. Ils fournissent la page de connexion où les utilisateurs saisissent leurs informations d'identification et appliquent des politiques de sécurité, telles que l'exigence d'une authentification multi-facteur ou d'une réinitialisation du mot de passe. Une fois l'utilisateur autorisé, les fournisseurs d'identité transmettent les données aux prestataires de services.
- Lesfournisseurs de services sont les applications et les sites Web auxquels les gens souhaitent accéder. Au lieu d'exiger que les utilisateurs se connectent individuellement à leurs applications, les fournisseurs de services configurent leurs solutions pour faire confiance à l'autorisation SAML et s'appuient sur les fournisseurs d'identité pour vérifier les identités et autoriser l'accès.
- Lesmétadonnées décrivent comment les fournisseurs d'identité et les fournisseurs de services échangeront des assertions, y compris les points finaux et la technologie.
- L'assertion correspond aux données d'authentification qui confirment au fournisseur de services que la personne qui se connecte a été authentifiée.
- Lescertificats de signature établissent la confiance entre le fournisseur d'identité et le fournisseur de services en confirmant que l'assertion n'a pas été manipulée lors du voyage entre les deux fournisseurs.
- L'horloge système confirme que le fournisseur de services et le fournisseur d'identité disposent de la même heure pour se protéger contre les attaques par relecture.
- Lesfournisseurs de services d'identité authentifient et autorisent les utilisateurs. Ils fournissent la page de connexion où les utilisateurs saisissent leurs informations d'identification et appliquent des politiques de sécurité, telles que l'exigence d'une authentification multi-facteur ou d'une réinitialisation du mot de passe. Une fois l'utilisateur autorisé, les fournisseurs d'identité transmettent les données aux prestataires de services.
-
SAML offre les avantages suivants aux organisations, à leurs employés et partenaires :
- Expérience utilisateur améliorée. SAML permet aux organisations de créer une expérience d'authentification unique afin que les employés et les partenaires se connectent une seule fois et accèdent à toutes leurs applications. Cela rend le travail plus facile et plus pratique car il y a moins de mots de passe à mémoriser et les employés n'ont pas besoin de se connecter à chaque fois qu'ils changent d'outil.
- Sécurité améliorée. Moins de mots de passe réduisent le risque de comptes compromis. De plus, les équipes de sécurité peuvent utiliser SAML pour appliquer une politique de sécurité stricte à toutes leurs applications. Par exemple, ils peuvent exiger une authentification multi-facteur pour se connecter ou appliquer des politiques d’accès conditionnel qui limitent les applications et les données auxquelles les utilisateurs peuvent accéder.
- Gestion unifiée. En utilisant SAML, les équipes techniques gèrent les identités et les politiques de sécurité dans une seule solution plutôt que d'utiliser des consoles de gestion distinctes pour chaque application. Cela simplifie considérablement le provisionnement des utilisateurs.
- Expérience utilisateur améliorée. SAML permet aux organisations de créer une expérience d'authentification unique afin que les employés et les partenaires se connectent une seule fois et accèdent à toutes leurs applications. Cela rend le travail plus facile et plus pratique car il y a moins de mots de passe à mémoriser et les employés n'ont pas besoin de se connecter à chaque fois qu'ils changent d'outil.
-
SAML est une technologie XML standard ouverte qui permet aux fournisseurs d'identité, comme Microsoft Entra ID, de transmettre des données d'authentification à un fournisseur de services, tel qu'un logiciel en tant qu'application de service.
L’authentification unique consiste à se connecter une seule fois, puis à accéder à différents sites web et applications. SAML permet l'authentification unique, mais il est possible de déployer l'authentification unique avec d'autres technologies. -
Le protocole LDAP (Lightweight Directory Access Protocol) est un protocole de gestion des identités utilisé pour l'authentification et l'autorisation des identités des utilisateurs. De nombreux fournisseurs de services prennent en charge LDAP. Cela peut donc constituer une bonne solution pour l’authentification unique. Cependant, comme il s’agit d’une technologie plus ancienne, elle ne fonctionne pas aussi bien avec les applications Web.
SAML est une technologie plus récente disponible sur la plupart des applications Web et nuage, ce qui en fait un choix plus populaire pour la gestion centralisée des identités.
-
L'authentification multi-facteur est une mesure de sécurité qui oblige les personnes à utiliser plusieurs facteurs pour prouver leur identité. En règle générale, cela nécessite un élément que l’individu possède, comme un appareil, plus un élément qu’il connaît, comme un mot de passe ou un code confidentiel. SAML permet aux équipes techniques d'appliquer l'authentification multi-facteur à plusieurs sites Web et applications. Ils peuvent choisir d'appliquer ce niveau d'authentification à toutes les applications intégrées à SAML ou ils peuvent appliquer une authentification multi-facteur pour certaines applications mais pas pour d'autres.
Suivez Microsoft