Qu’est-ce que SAML et comment ça marche ?

Avantages pour l’IT

SAML

Security Assertion Markup Language (SAML) est un standard ouvert qui permet aux fournisseurs d’identité (IdP) de transmettre des données d’identification aux fournisseurs de service. Cela signifie que vous pouvez utiliser un ensemble de données d’identification pour vous connecter à de nombreux sites Web différents. Il est plus simple de gérer une seule connexion par utilisateur que de gérer des informations de connexion séparées pour la messagerie, le logiciel de gestion de la relation client (CRM) et Active Directory, etc.

Les transactions SAML utilisent le XML (Extensible Markup Language) pour les communications normalisées entre le fournisseur d’identité et les fournisseurs de service. SAML est le lien entre l’authentification de l’identité d’un utilisateur et l’autorisation à utiliser un service.

Le Consortium OASIS a approuvé SAML 2.0 en 2005. La norme a tellement évolué depuis la version 1.1 que les versions ne sont pas compatibles. L’adoption de SAML permet aux services informatiques d’utiliser des solutions de « software as a service » (SaaS) tout en maintenant un système de gestion des identités à la fois fédéré et sûr.

SAML autorisant l’authentification unique (SSO), les utilisateurs peuvent se connecter une seule fois et réutiliser ces mêmes identifiants pour se connecter à d’autres fournisseurs de service.

À quoi sert SAML ?

SAML simplifie les processus fédérés d’authentification et d’autorisation pour les utilisateurs, les fournisseurs d’identité et les fournisseurs de service. SAML propose une solution permettant à votre fournisseur d’identité et aux fournisseurs de service d’exister indépendamment les uns des autres, ce qui a pour effet de centraliser la gestion des utilisateurs et de permettre l’accès à des solutions SaaS.

SAML met en œuvre une méthode sécurisée de transfert des autorisations et authentifications entre le fournisseur d’identité et les fournisseurs de service. Lorsqu’un utilisateur se connecte à une application compatible SAML, le fournisseur de service demande une autorisation auprès du fournisseur d’identité concerné. Le fournisseur d’identité authentifie les données d’identification de l’utilisateur puis retourne l’autorisation de l’utilisateur au fournisseur de service. L’utilisateur est alors en mesure d’utiliser l’application.

L’authentification SAML est la procédure consistant à vérifier l’identité et les données d’identification de l’utilisateur (mot de passe, authentification à deux facteurs, etc.). L’autorisation SAML indique au fournisseur de service quel accès accorder à l’utilisateur authentifié.

Qu’est-ce qu’un fournisseur SAML ?

Two Types of SAML providers

Un fournisseur SAML est un système qui aide un utilisateur à accéder au service dont il a besoin. Il existe deux principaux types de fournisseurs SAML : le fournisseur de service et le fournisseur d’identité.

  • Un fournisseur de service a besoin que le fournisseur d’identité procède à l’authentification pour pouvoir accorder l’autorisation à l’utilisateur.
  • Un fournisseur d’identité procède à l’authentification pour vérifier que l’utilisateur final est bien qui il prétend être, et envoie ces données au fournisseur de service en y joignant les droits d’accès de l’utilisateur pour ce service.

Parmi les fournisseurs d’identité connus, on trouve Microsoft Active Directory ou Azure. Salesforce et les autres solutions de CRM sont généralement des fournisseurs de service dans le sens où elles dépendent d’un fournisseur d’identité pour l’authentification des utilisateurs.

Qu’est-ce qu’une assertion SAML ?

Une assertion SAML est le document XML contenant l’autorisation utilisateur que le fournisseur d’identité envoie au fournisseur de service. Il existe trois types d’assertions SAML : l’authentification, l’attribution et la décision d’autorisation.

  • Les assertions d’authentification prouvent l’identification de l’utilisateur et indiquent l’heure de connexion et la méthode d’authentification utilisée (Kerberos, deux facteurs, etc.)
  • L’assertion d’attribution transmet les attributs SAML au fournisseur de service. Les attributs SAML sont des éléments de données spécifiques qui apportent des informations sur l’utilisateur.
  • L’assertion de décision d’autorisation indique si l’utilisateur est autorisé à utiliser le service, ou si le fournisseur d’identité a refusé sa demande en raison d’un échec de mot de passe ou de l’absence de droits pour le service.

Comment SAML fonctionne-t-il ?

SAML fonctionne en transmettant des informations sur les utilisateurs, les connexions et les attributs entre le fournisseur d’identité et les fournisseurs de service. Chaque utilisateur se connecte une fois par Authentification unique (SSO) auprès du fournisseur d’identité qui transmet les attributs SAML au fournisseur de service lorsque l’utilisateur tente d’accéder à ces services. Le fournisseur de service demande au fournisseur d’identité de lui fournir l’autorisation et l’authentification. Étant donné que ces deux systèmes parlent le même langage (SAML), l’utilisateur n’a besoin de se connecter qu’une seule fois.

Chacun des fournisseurs d’identité et des fournisseurs de service doit accepter la configuration pour SAML. Pour que l’authentification SAML fonctionne, chaque extrémité doit disposer de la bonne configuration.

SAML example steps

Exemple SAML

  1. Frodon (l’utilisateur) se connecte tôt le matin en SSO.
  2. Il essaie alors d’ouvrir une page Web dans son logiciel de CRM.
  3. Le logiciel de CRM (le fournisseur de service) contrôle les données d’identification de Frodon auprès du fournisseur d’identité.
  4. Le fournisseur d’identité renvoie des messages d’autorisation et d’authentification au fournisseur de service, qui autorise Frodon à se connecter au logiciel de CRM.
  5. Frodon peut utiliser le logiciel de CRM et faire son travail
    « Besoin de 8 volontaires pour une mission difficile… »

Comparaison entre SAML et OAuth

OAuth est une norme un peu plus récente développée conjointement par Google et Twitter pour rationaliser les connexions Internet. OAuth utilise une méthodologie comparable à celle de SAML pour partager les informations de connexion. SAML apporte davantage de contrôle aux entreprises afin de mieux protéger leurs connexions SSO, tandis qu’OAuth, qui utilise JSON, est plus performant pour les appareils mobiles.

Facebook et Google sont deux fournisseurs OAuth que vous utilisez peut-être pour vous connecter à d’autres sites Internet.

Didacticiels sur SAML

Voici quelques ressources pour mieux comprendre comment mettre en œuvre SAML :

SAML et le SSO jouent un rôle important dans n’importe quelle stratégie de cybersécurité d’entreprise. Les meilleures pratiques de gestion des identités préconisent que les comptes utilisateur aient uniquement accès aux ressources dont l’utilisateur a besoin pour faire son travail, et qu’ils soient contrôlés et gérés de manière centralisée. En utilisant une solution de SSO, vous pouvez désactiver des comptes d’un système et retirer en un seul geste l’accès à toutes les ressources disponibles, pour protéger ainsi vos données du vol.

Varonis protège vos services Active Directory centraux, ce qui contribue à protéger vos systèmes SSO et SAML. Varonis détecte les attaques qui visent votre système AD bien avant que les hackers ne puissent accéder aux ressources SSO. Bénéficiez d’une démo individuelle pour voir comment Varonis protège Active Directory et vos dépôts de données les plus importants des cyberattaques et des menaces internes.

Jeff Petters

Jeff Petters

Jeff travaille sur les ordinateurs depuis que son père a ramené à la maison un IBM PC 8086 avec un système de double disques durs. La recherche et l'écriture sur la sécurité des données est le travail de ses rêves.

Avatar

Adrien Rahmati-Georges

Ancien étudiant en informatique, actuel assistant marketing chez Varonis, en parallèle de ses études en Risques et Cybersécurité à l'EGE. Adrien prépare sa carrière de consultant en cybersécurité, risques et conformité, en fournissant pour la région EMEA, du contenu français et allemand, écrit par nos incroyables auteurs Varonis !

 

Votre cybersécurité est-elle au cœur de votre infrastructure ?

Bénéficiez d'une évaluation personnalisée des risques auxquels sont exposées vos données, effectuée par des ingénieurs passionnés par la sécurité des données.