SAML – AU avec déconnexion unique
Ce quatrième et dernier article de notre « Série d’authentification » examine l’authentification SAML, notre plugin SAML 2.0 Moodle et comment il prend en charge l’UA et la déconnexion unique (AKA single sign-out). Vous pouvez accéder aux trois premiers articles sur notre page de blog, ici.
La vaste gamme de solutions d’authentification
Les solutions d’authentification modernes abondent sur Internet, avec les grands fournisseurs de médias sociaux, tels que Facebook, LinkedIn et Twitter, offrant des services d’authentification unique (AU) qui s’intègrent à des sites tiers ; cela simplifie la connexion pour leurs utilisateurs.
Souvent considérée comme une option « sûre » pour beaucoup, il est vrai qu’elle est plus sécurisée que l’authentification propriétaire, en particulier lorsqu’elle a été mal implémentée. Cependant, de nombreuses organisations ne sont pas en mesure de déléguer la fourniture d’identité à des organisations sur lesquelles elles n’ont aucun contrôle.
Explorer les services d’intégration Catalyst
Gardez le contrôle de l’authentification et de la gestion des accès
Si vous gérez l’infrastructure informatique de votre entreprise, il ne sera pas facile de céder l’authentification et la gestion des accès à un tiers. En effet, vous pouvez être lié par des règles réglementaires ou législatives, ce qui signifie que vous avez besoin d’un contrôle plus précis sur qui s’est authentifié sur votre réseau et à quels actifs ils ont accédé. Vous pouvez également, pour des raisons de sécurité, vouloir maintenir un contrôle strict sur la gestion des accès des utilisateurs, notamment avoir la possibilité d’auditer et de tracer entièrement l’accès depuis le point d’authentification d’un utilisateur jusqu’à chaque actif auquel il accède avant de se déconnecter.
La complexité de l’infrastructure informatique moderne, y compris l’intégration de services externes basés sur le cloud et de services hétérogènes de systèmes d’exploitation multiples, exige la mise en œuvre stratégique de l’UA. Existe-t-il une solution qui prend en charge à la fois la commodité et la sécurité de l’utilisateur ? C’est là qu’intervient SAML.
Authentification SAML pour les opérations au niveau de l’entreprise
Si vous souhaitez le même niveau d’intégration dans votre entreprise que votre solution principale de gestion des identités et des accès, afin que vos utilisateurs ne se connectent qu’une seule fois, qu’ils accèdent à leurs fichiers, à une base de données, à un service cloud tiers ou à un solution hébergée de gestion de l’apprentissage, SAML offre le meilleur des deux mondes.
Ce qui rend une approche d’authentification SAML si puissante dans l’ensemble de votre entreprise, c’est que les services d’authentification tiers, tels qu’Okta, Sun Identity Manager et Active Directory Federation Service (ADFS) de Microsoft interagissent tous de manière transparente. Ainsi, par exemple, vous pouvez avoir des services externes utilisant Okta comme authentificateur, avoir une solution MFA utilisant quelque chose comme Duo offrant un niveau de protection supplémentaire, faire en sorte que les utilisateurs s’authentifient toujours à l’aide d’ADFS tout en accédant à votre Moodle SGA………. tout en utilisant un seul login!
Historiquement, SAML a été considéré comme complexe et difficile à mettre en œuvre, nécessitant une connaissance approfondie de SAML. Cependant, les choses ont changé. Regardons un exemple.
Universités utilisant Moodle SGA
Pour les étudiants qui se connectent à votre système de gestion de l’apprentissage (SGA), il est essentiel qu’une fois authentifiés, ils puissent accéder à leur portefeuille d’apprentissage et à leurs ressources sans avoir à se ré-authentifier auprès de nouveaux services. Étant donné que votre Moodle est probablement hébergé dans le cloud, en utilisant un ensemble différent d’informations d’identification internes, la mise en œuvre de l’UA peut être considérée comme difficile – une entreprise complexe, techniquement avancée et longue.
Plugin SAML 2.0 Moodle
L’équipe de Catalyst a reconnu le défi et a développé un plugin Moodle SAML 2.0 unique qui fournit un déploiement AU simple, entièrement intégré à votre service d’annuaire interne.
Découvrez comment fonctionne le plugin Moodle pour SAML 2.0
Le plug-in permet aux administrateurs de mettre rapidement en service le service et de concentrer leurs efforts sur les besoins de l’entreprise plutôt que de surmonter les défis techniques.
Cette vidéo de 3 minutes donne un aperçu du plugin SAML 2.0 Moodle
Cette vidéo de 3 minutes donne un aperçu du plugin SAML 2.0 Moodle
Pour une solution AU complète, il ne suffit pas de considérer uniquement comment vos utilisateurs se connectent, il est également important de regarder ce qui se passe lorsqu’ils se déconnectent. La déconnexion unique (également connue sous le nom de déconnexion unique) n’est pas autant évoquée que l’authentification unique, mais elle est tout aussi importante pour le risque de cybersécurité.
Sans solution qui gère la déconnexion unique, les sessions restent actives tandis que d’autres sont déconnectées, ce qui les expose à des menaces de sécurité. Les attaquants peuvent cibler ces sessions ouvertes avec Cross-Site Request Forgery (CSRF) et des exploits de piratage de session. Ce risque de sécurité est l’endroit où la déconnexion unique entre en jeu ; il garantit que vos utilisateurs ferment avec succès toutes leurs sessions ouvertes actives (ou les sessions que SAML 2.0 a ouvertes pour eux) simultanément, réduisant ainsi la surface d’attaque exploitable.
La capacité de déconnexion unique permet aux équipes de sécurité de suivre et de tracer les sessions ouvertes et fermées dans toute l’entreprise, offrant une visibilité sur les utilisateurs qui étaient connectés lorsque les attaques se sont produites. Sans cette connaissance (et la confiance dans la piste d’audit), il est impossible d’établir correctement une chronologie des événements menant à une violation, quelque chose sur lequel une enquête médico-légale post-violation s’appuie pour identifier la cause et, surtout, le correctif pour résoudre le problème de sécurité qui a conduit à la brèche.
Authentification SAML pour prendre en charge Moodle SGA
Le plug-in Moodle de Catalyst pour l’authentification SAML 2.0 inclut toutes les intégrations de fournisseurs d’identité associés pour garantir l’authentification unique et la déconnexion unique. Le plugin permet l’intégration entre la solution de gestion des identités et des accès d’entreprise, telle qu’Active Directory et le SGA Moodle – ce qui signifie que les administrateurs système peuvent entreprendre toutes les activités de configuration et de gestion typiques dont ils ont besoin sans avoir à creuser dans la mise en œuvre technique plus approfondie qui a historiquement été considérée comme trop dure.
Découvrez comment Catalyst peut vous aider avec votre capacité AU
Catalyst prend la cybersécurité très au sérieux, nous sommes certifiés ISO 27001. Nos services Moodle de base incluent une intégration de sécurité de niveau entreprise pour garantir que vos systèmes AU et SAML prennent en charge vos exigences en matière de gouvernance de la sécurité, de gestion des risques et de conformité.
Si vous souhaitez plus d’informations sur la façon dont Catalyst peut vous aider avec votre capacité AU et MFA, nous aimerions avoir de vos nouvelles.