Il est des technologies qui chamboulent les habitudes, renversent les principes et révolutionnent leur domaine. L’authentification unique, de son petit nom « Single Sign-On » ou SSO pour les intimes, semble à mon sens, être de celles qui vont durablement impacter le marché de l’authentification et de la cybersécurité dans un contexte ou chacun utilise de multiples services web auxquels il faut s’authentifier pour pouvoir y accéder.
Sommaire
Pourquoi une authentification unique ?
Peut-être ne connaissez-vous pas le principe, mais l’authentification unique permet de se connecter à un système via l’identification à un autre système.
Vous avez certainement déjà utilisé ces services qui vous proposent de vous connecter via votre compte Google, Facebook ou Linkedin par exemple, c’est ça la SSO.
Mais à quoi peut bien servir cette méthode d’authentification ? La réponse est simple : garantir la sécurité des données tout en simplifiant l’expérience utilisateur.
L’idée est d’utiliser un seul compte pour se connecter à pléthore de services tiers. Donc plus besoin de retenir des dizaines de mots de passe ou d’utiliser le même sur plusieurs services, ce qui en rend la modification de son mot de passe plus simple et rapide.
Le hacking de mots de passe est dès lors plus complexe puisqu’il faut hacker des grands noms de la tech, comme Google, Méta (Facebook) ou encore Microsoft.
Alors qu’avant, il suffisait de trouver un site dont la sécurité laissait à désirer afin d’en soutirer les mots de passe et identifiants, parfois non chiffrés, afin de les utiliser ensuite pour usurper l’identité de quelqu’un, lui voler des données personnelles, ou pire, accéder à des données confidentielles de son employeur par exemple.
Quels sont les risques de cette méthode d’authentification ?
Il y en a évidemment : à commencer par la centralisation de l’accès à des données personnelles à des grandes structures de la tech qui n’ont pas toujours montré la plus grande déférence à la confidentialité des données personnelles par exemple.
Mais aussi le fait de n’avoir qu’un seul mot de passe pour protéger tous ses accès, autant dire qu’il vaut mieux éviter les mots de passe peu sécurisés du type « azertyuiop » ou « motdepasse » tel qu’on peut encore le voir très fréquemment.
Sans parler du fait que, bien que très sécurisés, ces services d’authentification ne sont pas sans failles et pourraient être la cible d’attaques de hackers qui pourraient ainsi compromettre la sécurité de millions d’utilisateurs.
Quelles sont les alternatives à la SSO ?
L’authentification unique n’est pas la seule technologie possible pour la sécurisation des services web et la simplification de l’expérience utilisateur avec les mots de passe.
Les gestionnaires de mots de passe
Aujourd’hui, il existe parmi les solutions les plus réputées, les gestionnaires de mots de passe, que je recommande chaudement depuis plusieurs années à mes clients.
Ils permettent de n’avoir à retenir qu’un seul mot de passe, clé qui donne accès à l’ensemble de ses identifiants, mais aussi aux numéros de cartes bancaires, à des notes très personnelles, etc.
Les données du gestionnaire sont bien évidemment chiffrées, ce qui rend leur récupération très complexe, faut-il encore que son mot de passe principal ne soit pas en possession des hackers.
Il est possible de partager des accès avec ses collaborateurs avec des systèmes de permissions, ce qui permet de mieux contrôler l’accès aux différents services web que vos collaborateurs utilisent.
La double authentification
Vous l’utilisez probablement de plus en plus pour la simple et bonne raison que beaucoup d’éditeurs l’ont choisit pour vous.
Le principe est de s’authentifier une première fois via un mot de passe traditionnel, puis de une seconde fois depuis un smartphone, via une application dédiée comme Google Authentificator, Microsoft Authentificator ou 2FAS.
Sur cette application, un code numérique change régulièrement pour chacun des services enregistrés, vous devez donc taper ce code dans un formulaire dédié.
Il se peut aussi parfois que la seconde authentification se fasse via un mot de passe reçu par email ou SMS.
Cette solution, bien que largement utilisée de nos jours, me semble être une alternative dont la sécurité est perfectible et qui complique considérablement l’expérience utilisateur.
Les recommandations de la CNIL
Évidemment, l’autre alternative consiste à utiliser un mot de passe issu d’une phrase tel que le recommande la CNIL pour générer un mot de passe solide, puis de personnaliser cette phrase selon le service utilisé.
Les principaux protocoles d’authentification unique
Comme il en existe plus d’une dizaine et que mon temps et le votre sont limités, j’ai demandé à Chat GPT de me lister les 5 protocoles d’authentification unique les plus utilisés en 2025 et voici sa réponse :
SAML (Security Assertion Markup Language)
- Utilisation principale : Applications d’entreprise, intégration avec des fournisseurs d’identité (IdP).
- Avantages :
- Bien établi et soutenu par de nombreux fournisseurs.
- Idéal pour les environnements avec des systèmes multiples nécessitant un SSO.
- Cas d’usage courant : Accès centralisé à des suites d’outils SaaS comme Google Workspace, Salesforce, ou Microsoft 365.
OAuth 2.0
- Utilisation principale : Connexion sécurisée entre applications (sans mot de passe direct).
- Avantages :
- Large adoption pour les applications web et mobiles.
- Simple à mettre en œuvre pour des services tiers comme Google ou Facebook.
- Cas d’usage courant : Autorisation d’accès aux données d’utilisateurs via des API sécurisées.
OpenID Connect (OIDC)
- Utilisation principale : Authentification basée sur OAuth 2.0 avec gestion de l’identité utilisateur.
- Avantages :
- Fournit des informations d’identité utilisateur tout en conservant les avantages d’OAuth 2.0.
- Supporté par des plateformes modernes comme AWS Cognito et Auth0.
- Cas d’usage courant : Authentification sur des applications mobiles et web modernes.
Kerberos
- Utilisation principale : Authentification réseau sécurisée, principalement dans les environnements Windows avec Active Directory.
- Avantages :
- Extrêmement sécurisé grâce à l’utilisation de tickets chiffrés.
- Intégré de manière native dans les systèmes Windows.
- Cas d’usage courant : SSO dans des infrastructures internes d’entreprise (exemple : Intranet).
LDAP (Lightweight Directory Access Protocol)
- Utilisation principale : Gestion centralisée des utilisateurs et authentification dans les systèmes d’entreprise.
- Avantages :
- Simple et efficace pour interroger des annuaires utilisateur.
- Compatible avec divers outils open source et propriétaires.
- Cas d’usage courant : Connexion des utilisateurs à des systèmes internes via un annuaire d’entreprise.
Synthèse rapide des protocoles SSO
- SAML : Préféré pour les entreprises utilisant plusieurs systèmes SaaS.
- OAuth 2.0 / OIDC : Idéal pour les applications modernes et les intégrations de fournisseurs tiers.
- Kerberos : Incontournable dans des réseaux Windows locaux.
- LDAP : Essentiel pour gérer des annuaires utilisateur internes.
Je suis désolé de n’avoir pas fait ce travail de fourmi moi-même, mais je n’ai malheureusement pas l’omniscience de l’intelligence artificielle, ni le temps pour aller condenser toutes ces informations. Cependant le reste de cet article est rédigé pas mes petites mains, avec mes neurones aux commandes.
Vous l’aurez compris, SAML est le grand gagnant, suivi par OAuth 2.0 et OpenID Connect.
Les acteurs de l’authentification SSO
Je savais le secteur très dynamique, mais la multiplicité des acteurs du SSO à l’aube de 2025 est juste incroyable. Il est évident que je ne vais pas pouvoir vous les lister de façon exhaustive, mais je vais tenter de dresser un petit listing des solutions selon vos besoins.
Les fournisseurs d’identité en SSO
Dans une authentification unique, l’utilisateur se connecte au compte d’un fournisseur d’identité, autrement nommé « IdP » (pour Identity Provider).
Histoire de simplifier, c’est le service qui va permettre d’authentifier la personne pour indiquer ensuite qu’il peut accéder à son compte.
Il en existe tellement que j’ai encore une fois fait appel à mon stagiaire Chat GPT afin de me lister les 5 fournisseurs d’identité principaux.
1. Okta
- Description : Plateforme leader dans la gestion des identités, spécialisée dans le SSO, la gestion des accès, et les services de fédération.
- Points forts :
- Compatible avec SAML, OAuth 2.0, OIDC, et d’autres protocoles.
- Facile à intégrer avec des centaines d’applications SaaS.
- Offre des outils avancés pour la gestion des identités, le MFA (authentification multi-facteurs), et la gestion des utilisateurs.
- Cas d’usage courant : Entreprises de toutes tailles utilisant des applications SaaS variées.
2. Microsoft Entra ID (anciennement Azure AD)
- Description : Solution cloud de Microsoft pour la gestion des identités et des accès, intégrée à l’écosystème Microsoft 365.
- Points forts :
- Intégration native avec Windows et Microsoft 365.
- Prend en charge SAML, OIDC, et OAuth 2.0.
- Fonctionnalités avancées comme le MFA, l’accès conditionnel, et les politiques de sécurité.
- Cas d’usage courant : Entreprises utilisant Windows Server, Microsoft 365, ou des infrastructures Microsoft hybrides.
3. Google Workspace (anciennement G Suite)
- Description : Fournisseur d’identité intégré pour les applications Google (Gmail, Drive, etc.) et des services tiers.
- Points forts :
- SSO intégré avec OAuth 2.0, OIDC, et SAML.
- Configuration simple pour les utilisateurs existants de Google Workspace.
- Gestion centralisée des utilisateurs et des groupes.
- Cas d’usage courant : Entreprises adoptant les outils de collaboration et de productivité Google.
4. Auth0 (une filiale d’Okta)
- Description : Plateforme flexible pour l’authentification et la gestion des identités, adaptée aux développeurs.
- Points forts :
- Supporte une large gamme de protocoles (SAML, OAuth 2.0, OIDC, etc.).
- Facile à personnaliser grâce à des APIs et des SDKs.
- Idéal pour des projets nécessitant des intégrations spécifiques ou complexes.
- Cas d’usage courant : Startups, développeurs, et entreprises cherchant une solution personnalisable.
5. Ping Identity
- Description : Fournisseur d’identité axé sur les entreprises, offrant des solutions SSO, MFA, et gestion des accès.
- Points forts :
- Fort focus sur la sécurité et la conformité (par ex. : GDPR, HIPAA).
- Compatible avec SAML, OAuth 2.0, et OIDC.
- Intégrations avec des environnements hybrides et multi-cloud.
- Cas d’usage courant : Grandes entreprises ayant besoin d’une sécurité et d’une personnalisation avancées.
Synthèse rapide des fournisseurs d’identité SSO
- Okta : Le leader généraliste pour la gestion des identités et SSO.
- Azure AD : Indispensable dans l’écosystème Microsoft.
- Google Workspace : Parfait pour les entreprises utilisant les outils Google.
- Auth0 : Idéal pour des intégrations sur mesure.
- Ping Identity : Spécialisé dans les besoins complexes des grandes entreprises.
Les solutions de SSO pour WordPress
Voyons maintenant les solutions qui vous permettent d’équiper votre site WordPress avec un système de SSO. C’est je pense ce qui intéressera le plus grand nombre.
Attention, les plugins que je vous présente sont les solutions qui semblent les plus populaires et fiables en janvier 2025, cependant, il n’est pas exclu que de nouveaux acteurs puissent émerger et que ceux dont je vais parler ici deviennent obsolètes, ne soit plus maintenus ou ne fonctionnent plus aussi bien.
Richard Besson – Consultant en transformation digitale
Il est essentiel d’approfondir ses recherches en fonction de votre besoin, du marché actuel et des signaux essentiels à regarder. Je mettrais à jour cet article aussi régulièrement que possible.
SAML Single Sign On – SSO Login
Par miniOrange
10 000+ installations actives
⭐️⭐️⭐️⭐️⭐️ 4.9/5 pour 272 votes
Ce plugin propose l’intégration SSO dans WordPress d’une liste impressionnante de fournisseurs d’identité et de protocoles d’identification.
Social Share, Social Login and Social Comments Plugin – Super Socializer
Par Team Heateor
30 000+ installations actives
⭐️⭐️⭐️⭐️⭐️ 4.8/5 pour 680 votes
Ce plugin permet non seulement d’intégrer la SSO dans votre site web, mais aussi des fonctionnalités de partage et de commentaires via les réseaux sociaux (Facebook, Google, Linkedin et bien d’autres).
Login by Auth0
Par Auth0
20 000+ installations actives
⭐️⭐️⭐️ 3.2/5 pour 17 votes 🚩
Ce plugin proposé par la filiale de Okta permet d’utiliser le protocole Auth0 uniquement. J’ai mis un drapeau rouge car 17 votes pour un plugin censé être installé 20 000 fois me semble curieux. De plus la note n’est pas formidable. Prudence donc ici.
Je compare les solutions de SSO pour vous
Je trouve pour vous le bon plugin, le bon fournisseur d’identité en fonction de votre contexte et je vous accompagne à leur mise en place sur tous vos services web.
Les solutions de SSO pour Drupal
Je n’ai pas oublié les utilisateurs du CMS Drupal, l’un des plus puissants à ce jour selon moi, très intéressant notamment pour créer un intranet ou un extranet sécurisé et performant, même avec plusieurs milliers de collaborateurs.
Justement, dans le cadre d’un intranet ou d’un extranet, il peut être extrêmement utile, comme je l’ai fait pour l’intranet du groupe Farinia sur Drupal de proposer une connexion SSO qui permet aux collaborateurs d’utiliser leurs identifiants Microsoft 365 ou Google Workspace par exemple et ainsi rendre l’onboarding plus intuitif.
La marché de la SSO sur Drupal est bien plus dynamique, certainement parce qu’on utilise énormément Drupal pour des plateformes nécessitant absolument cette méthode de connexion.
Je vais donc vous présenter deux types de modules :
- ceux qui permettent de se connecter à Drupal via un fournisseur d’identité
- ceux qui permettent de transformer Drupal en fournisseur d’identité.
Je ne vais cependant pas pouvoir tous les lister car il en existe une multitude, mais vous trouverez modules Drupal de SSO les plus populaires en ce début d’année 2025.
Les modules Drupal de connexion SSO
SAML Authentication
- 11 474+ installations actives
- Peu de bugs déclarés
- Semble maintenu assez régulièrement
Ce module permet aux utilisateurs de s’authentifier auprès d’un fournisseur d’identité SAML pour se connecter à votre site Drupal. (Cela signifie que votre site Drupal sert de fournisseur de services SAML).
SAML SSO – Service Provider
- 2159+ installations actives
- Peu de bugs déclarés
- Semble maintenu régulièrement
Il permet d’intégrer une authentification unique (Single Sign-On) via le protocole SAML (Security Assertion Markup Language).
OpenID Connect / OAuth client
- 21 850+ installations actives
- Peu de bugs déclarés
- Semble maintenu régulièrement
Le module permet d’intégrer une authentification via le protocole OpenID Connect. Ce protocole est une couche d’identité construite au-dessus d’OAuth 2.0, utilisée pour authentifier les utilisateurs et récupérer des informations de profil auprès d’un fournisseur d’identité (IdP).
OAuth Login – OAuth OIDC SSO
- 300+ installations actives
- Peu de bugs déclarés
- Semble maintenu régulièrement
Ce module permet à votre site Drupal d’agir en tant que client OAuth. Cela signifie que les utilisateurs peuvent se connecter à votre site Drupal en utilisant leurs identifiants d’un fournisseur d’identité OAuth externe (comme Google, Facebook, Microsoft, etc.).
Les modules pour transformer Drupal en fournisseur d’identité (IdP)
OAuth Server
- 48+ installations actives
- Aucun bug déclaré
- Semble maintenu régulièrement
Ce module transforme votre site Drupal en un fournisseur d’identité (OAuth Server). Cela signifie que d’autres applications ou sites web peuvent utiliser votre site Drupal comme point central d’authentification.
DrupalAuth for SimpleSAMLphp
- 300+ installations actives
- Quelques bugs déclarés
- Semble assez peu maintenu
Ce module transforme votre site Drupal en fournisseur d’identité avec le module drupalauth simpleSAMLphp.
Les utilisateurs interagissent avec Drupal pour créer des comptes, gérer des comptes et s’authentifier. Les prestataires de services SAML interagissent avec SimpleSAMLphp.
Résumé et conclusion sur la SSO, l’avenir de l’authentification
Pour résumer, la SSO est une technologie qui permet de s’affranchir d’une multitude de mots de passe pour les utilisateurs.
Elle n’est pas si compliquée que ça à mettre en place, mais requière une fine connaissance des solutions existantes et d’étudier le besoin dont vous en avez, afin d’offrir la meilleure expérience à vos utilisateurs.
Bien utilisée, elle va rendre l’adoption et l’ondoarding de votre service web plus efficace.
Il existe à la fois des solutions pour utiliser des fournisseurs d’identité existants comme Okta, Google Workspace ou encore Microsoft Azure AD, mais aussi de proposer son propre fournisseur d’identité afin de créer un écosystème de services web, par exemple, au sein d’une grande entreprise.
C’est à mon avis une technologie d’avenir qui va se démocratiser dans les prochaines années et simplifier considérablement l’expérience utilisateur et la sécurité des services web.
Passez à l’authentification unique !
Vous souhaitez intégrer dans vos services web un système d’authentification unique (SSO) afin de centraliser la gestion et d’améliorer l’expérience de vos utilisateurs ?
0 commentaires