Qu’est-ce que SAML ?

Découvrez comment le protocole standard du secteur, à savoir SAML (Security Assertion Markup Language), renforce les mesures de sécurité et améliore les expériences de connexion.

Définition de SAML

SAML est la technologie sous-jacente qui permet aux utilisateurs de se connecter une seule fois à l’aide d’un ensemble d’informations d’identification et d’accéder à plusieurs applications. Les fournisseurs d’identité, comme Azure Active Directory (Azure AD), vérifient les utilisateurs lorsque ces derniers se connectent, puis utilisent SAML pour transmettre ces données d’authentification au fournisseur de services qui exécute le site, le service ou l’application auquel les utilisateurs souhaitent accéder.

Utilisation de SAML

SAML permet de renforcer la sécurité des entreprises et de simplifier le processus de connexion des collaborateurs, partenaires et clients. Les entreprises l’utilisent pour activer l’authentification unique, qui permet aux utilisateurs d’utiliser un nom d’utilisateur et un mot de passe pour accéder à plusieurs sites, services et applications. Diminuer le nombre de mots de passe que les utilisateurs doivent mémoriser leur facilite la vie et réduit également le risque que l’un de ces mots de passe ne soit volé. Les entreprises peuvent également définir des standards de sécurité pour les authentifications dans leurs applications SAML. Par exemple, elles peuvent demander l’authentification multifacteur avant que les utilisateurs n’accèdent au réseau et aux applications sur site, comme Salesforce, Concur et Adobe. 

 

SAML aide les entreprises à traiter les cas d’usage suivants :

 

Unifier la gestion des identités et des accès :

En gérant l’authentification et l’autorisation dans un même système, les équipes informatiques peuvent réduire considérablement le temps qu’elles consacrent à l’attribution d’utilisateurs et aux droits d’utilisation des identités.

 

Activer la Confiance Zéro :

Une stratégie de sécurité Confiance Zéro exige que les entreprises vérifient chaque demande d’accès et limitent l’accès aux informations sensibles aux seules personnes qui en ont besoin. Les équipes techniques peuvent utiliser SAML pour définir des stratégies, telles que l’authentification multifacteur et l’accès conditionnel, dans toutes leurs applications. Elles peuvent également activer des mesures de sécurité plus strictes, telles que forcer la réinitialisation d’un mot de passe, lorsque le risque d’un utilisateur est élevé en fonction de son comportement, de son appareil ou de son emplacement.

 

Enrichir l’expérience des collaborateurs :

En plus de simplifier l’accès pour les collaborateurs, les équipes informatiques peuvent également personnaliser les pages de connexion pour créer une expérience cohérente entre les applications. Les collaborateurs gagnent également du temps avec des expériences en libre-service qui leur permettent de réinitialiser facilement leurs mots de passe.

Qu’est-ce qu’un fournisseur SAML ?

Un fournisseur SAML est un système qui partage des données d’authentification et d’autorisation d’identité avec d’autres fournisseurs. Il existe deux types de fournisseurs SAML :

  • Les fournisseur d’identité authentifient et autorisent les utilisateurs. Ils fournissent la page de connexion où les utilisateurs entrent leurs informations d’identification. Ils appliquent également des stratégies de sécurité, par exemple en exigeant une authentification multifacteur ou une réinitialisation de mot de passe. Une fois que l’utilisateur est autorisé, les fournisseurs d’identité transmettent les données aux fournisseurs de services. 
  • Les fournisseurs de services sont les applications et les sites web auxquels les utilisateurs veulent accéder. Au lieu d’exiger que les utilisateurs se connectent individuellement à leurs applications, les fournisseurs de services configurent leurs solutions de façon à ce qu’elles fassent confiance à l’autorisation SAML et s’appuient sur les fournisseurs d’identité pour vérifier les identités et autoriser l’accès. 

Fonctionnement de l’authentification SAML

Dans l’authentification SAML, les fournisseurs de services et les fournisseurs d’identité partagent les données de connexion et d’utilisateur pour confirmer que chaque personne qui demande l’accès est authentifiée. Cette procédure suit généralement les étapes suivantes :

  1. Un collaborateurs commence à travailler en se connectant à l’aide de la page de connexion fournie par le fournisseur d’identité.
  2. Le fournisseur d’identité confirme que le collaborateur est bien celui qu’il prétend être en confirmant une combinaison de détails d’authentification, tels que le nom d’utilisateur, le mot de passe, le code confidentiel, l’appareil ou les données biométriques.
  3. Le collaborateur lance une application de fournisseur de services, telle que Microsoft Word ou Workday. 
  4. Le fournisseur de services communique avec le fournisseur d’identité pour confirmer que le collaborateur est autorisé à accéder à cette application.
  5. Les fournisseurs d’identité renvoient l’autorisation et l’authentification.
  6. Le collaborateur accède à l’application sans se connecter une deuxième fois.
     

Qu’est-ce que l’assertion SAML ?

L’assertion SAML est le document XML contenant des données qui confirment au fournisseur de services que la personne qui se connecte a été authentifiée.

 

Il en existe 3 types :

  • L’assertion d’authentification identifie l’utilisateur et inclut l’heure à laquelle la personne s’est connectée et le type d’authentification qu’elle a utilisé, comme un mot de passe ou une authentification multifacteur.
  • L’assertion d’attribution transmet le jeton SAML au fournisseur. Cette assertion inclut des données spécifiques sur l’utilisateur.
  • Un assertion de décision d’autorisation indique au fournisseur de services si l’utilisateur est authentifié ou s’il est refusé en raison d’un problème avec ses informations d’identification ou parce qu’il n’a pas d’autorisations pour ce service. 

SAML et OAuth

SAML et OAuth permettent aux utilisateurs d’accéder plus facilement à plusieurs services sans se connecter à chacun séparément, mais les deux protocoles utilisent des technologies et des processus différents. SAML utilise XML pour permettre aux utilisateurs d’utiliser les mêmes informations d’identification pour accéder à plusieurs services, tandis qu’OAuth transmet les données d’autorisation à l’aide de JWT ou JavaScript Object Notation.


Dans OAuth, les utilisateurs choisissent de se connecter à un service en utilisant l’autorisation d’un tiers, comme leurs comptes Google ou Facebook, plutôt que de créer un nouveau nom d’utilisateur ou mot de passe pour le service. L’autorisation est transmise tout en protégeant le mot de passe de l’utilisateur.

Rôle de SAML pour les entreprises

SAML aide les entreprises à favoriser à la fois la productivité et la sécurité dans leurs espaces de travail hybrides. Dans la mesure où de plus en plus de collaborateurs travaillent à distance, il est essentiel de leur permettre d’accéder facilement et partout aux ressources de l’entreprise. Toutefois, sans les contrôles de sécurité adaptés, un accès facile augmente les risques de violation. Avec SAML, les entreprises peuvent simplifier le processus de connexion des collaborateurs tout en appliquant des stratégies strictes telles que l’authentification multifacteur et l’accès conditionnel aux applications utilisées par leurs collaborateurs.


Pour commencer, les entreprises doivent investir dans une solution de fournisseur d’identité, telle que Azure AD. Azure AD protège les utilisateurs et les données avec une sécurité intégrée et unifie la gestion des identités dans une solution unique. Le libre-service et l’authentification unique permettent aux collaborateurs de rester productifs de manière simple et pratique. De plus, Azure AD est fourni avec une intégration SAML prédéfinie proposant des milliers d’applications, telles que Zoom, DocuSign, SAP Concur, Workday et Amazon Web Services (AWS).

Apprenez-en davantage sur la Sécurité Microsoft

Forum aux questions

|

SAML inclut les composants suivants :

  • Les fournisseur de services d’identité authentifient et autorisent les utilisateurs. Ils fournissent la page de connexion où les utilisateurs saisissent leurs informations d’identification et appliquent des stratégies de sécurité, telles que l’exigence d’une authentification multifacteur ou la réinitialisation d’un mot de passe. Une fois que l’utilisateur est autorisé, les fournisseurs d’identité transmettent les données aux fournisseurs de services.
  • Les fournisseurs de services sont les applications et les sites web auxquels les utilisateurs veulent accéder. Au lieu d’exiger que les utilisateurs se connectent individuellement à leurs applications, les fournisseurs de services configurent leurs solutions de façon à ce qu’elles fassent confiance à l’autorisation SAML et s’appuient sur les fournisseurs d’identité pour vérifier les identités et autoriser l’accès.
  • Les métadonnées décrivent comment les fournisseurs d’identité et les fournisseurs de services échangent des assertions, y compris les points de terminaison et la technologie.
  • L’assertion correspond aux données d’identification qui confirment au fournisseur de services que la personne qui se connecte a été authentifiée.
  • Les certificats de signature établissent la confiance entre le fournisseur d’identité et le fournisseur de services en confirmant que l’assertion n’a pas été manipulée lors du transfert entre les deux fournisseurs.
  • L’horloge système confirme que le fournisseur de services et le fournisseur d’identité disposent de la même heure pour se protéger contre les attaques par relecture.

SAML offre les avantages suivants aux entreprises, à leurs collaborateurs et partenaires :

  • Amélioration de l’expérience utilisateur. SAML permet aux entreprises de créer une expérience d’authentification unique afin que les collaborateurs et les partenaires se connectent une seule fois et aient accès à toutes leurs applications. Cela rend le travail plus facile et plus pratique car il y a moins de mots de passe à mémoriser et les collaborateurs n’ont pas à se connecter à chaque fois qu’ils changent d’outil.
  • Amélioration de la sécurité. Un nombre moins important de mots de passe réduit le risque de comptes compromis. De plus, les équipes de sécurité peuvent utiliser SAML pour appliquer une stratégie de sécurité renforcée à toutes leurs applications. Par exemple, elles peuvent exiger une authentification multifacteur pour se connecter ou appliquer des stratégies d’accès conditionnel qui limitent les applications et les données auxquelles les personnes peuvent accéder.
  • Unification de la gestion. En utilisant SAML, les équipes techniques gèrent les identités et les stratégies de sécurité dans une même solution plutôt que d’utiliser des consoles de gestion distinctes pour chaque application. Cela simplifie considérablement l’attribution d’utilisateurs.

SAML est une technologie XML standard ouverte qui permet aux fournisseurs d’identité, comme Azure Active Directory (Azure AD), de transmettre des données d’authentification à un fournisseur de services, tel qu’une application SaaS.

 

L’authentification unique consiste à se connecter une seule fois, puis à accéder à plusieurs sites web et applications différents. SAML permet l’authentification unique, mais il est possible de déployer l’authentification unique avec d’autres technologies.

Le protocole LDAP (Lightweight Directory Access Protocol) est un protocole de gestion des identités utilisé pour l’authentification et l’autorisation des identités des utilisateurs. De nombreux fournisseurs de services prennent en charge LDAP, qui peut être une bonne solution pour l’authentification unique, mais comme il s’agit d’une technologie plus ancienne, elle ne fonctionne pas aussi bien avec les applications web.

 

SAML est une technologie plus récente disponible sur la plupart des applications web et cloud, ce qui en fait un choix plus populaire pour la gestion centralisée des identités.

L’authentification multifacteur est une mesure de sécurité qui oblige les utilisateurs à utiliser plusieurs facteurs pour prouver leur identité. En règle générale, cela nécessite un élément que l’individu possède, comme un appareil, plus un élément qu’il connaît, comme un mot de passe ou un code confidentiel. SAML permet aux équipes techniques d’appliquer l’authentification multifacteur à plusieurs sites web et applications. Ces équipes peuvent choisir d’appliquer ce niveau d’authentification à toutes les applications intégrées à SAML ou elles peuvent appliquer l’authentification multifacteur pour certaines applications uniquement.