L’authentification unique (SSO) permet aux utilisateurs de s’authentifier une seule fois et d’accéder à plusieurs applications sans ressaisir leurs identifiants. Le SSO améliore à la fois la sécurité (moins de mots de passe, moins de fatigue de connexion) et l’expérience utilisateur (un clic pour accéder aux applications).
Protocoles SSO
SAML 2.0 vs OIDC vs Kerberos
Caractéristique
SAML 2.0
OIDC (OpenID Connect)
Kerberos
Année
2005
2014
1980 (révisé en 2005)
Format
XML (assertion)
JSON (JWT)
Binaire (ticket)
Transport
HTTP POST, Redirect, Artifact
HTTP GET/POST
UDP/TCP (ports 88, 464)
Cas d’usage
SSO d’entreprise, fédération B2B
SSO moderne, mobile, API
SSO Windows natif, réseau
Gestion de session
Basée sur cookie IdP
Basée sur jeton (JWT)
Basée sur ticket TGT
Propriétés
Lourd, complexe, mature
Léger, moderne, simple
Rapide, domaine uniquement
Déconnexion unique (SLO)
Complexe (plusieurs profils)
Simple (RP-initiated, session management)
Basée sur renouvellement TGT
Support mobile
Limité
Natif
Non
Flux SSO SAML 2.0
Flux initié par le fournisseur de service (SP)
1. Utilisateur tente d'accéder à l'application (SP)
2. SP génère une AuthnRequest SAML
3. SP redirige le navigateur vers l'IdP avec AuthnRequest
4. IdP authentifie l'utilisateur (nom/mot de passe + MFA si requis)
5. IdP génère une assertion SAML (signée, optionnellement chiffrée)
6. IdP redirige le navigateur vers l'ACS (Assertion Consumer Service) du SP
Configuration incorrecte du SP acceptant des assertions non signées
Valider TOUJOURS la signature, ne jamais accepter d’assertions non signées
Attaque de rejeu
Réutilisation d’une assertion SAML capturée
Assertion with NotBefore/NotOnOrAfter, OneTimeUse
Provisionnement non synchronisé
Utilisateur supprimé dans l’annuaire mais session SSO toujours active
Réduction de la durée de session, vérification périodique de l’appartenance aux groupes
Points Clés à Retenir
Les trois protocoles SSO principaux sont SAML 2.0 (XML, entreprise, fédération B2B), OIDC (JSON/JWT, moderne, mobile, API) et Kerberos (binaire, Windows natif, réseau) — le choix dépend du type d’applications et de l’infrastructure existante
Les flux SSO SAML 2.0 incluent le flux initié par le SP (l’utilisateur accède d’abord à l’application) et le flux initié par l’IdP (l’utilisateur part du portail IdP) — le flux initié par le SP est le plus courant
OIDC est le protocole SSO moderne recommandé pour les nouvelles applications — plus simple que SAML, meilleur support mobile et API, et compatible avec les architectures microservices
Les applications legacy sans support SAML/OIDC nécessitent des proxies d’authentification (PingAccess, Azure AD App Proxy) ou des agents/plugins pour intégrer le SSO
Le SSO concentre le risque : la compromission de la session IdP donne accès à toutes les applications — la liaison de session, les durées de session courtes et la MFA renforcée sont des mitigations essentielles
La déconnexion unique (SLO) est notoirement difficile à implémenter correctement — testez rigoureusement tous les scénarios de déconnexion, en particulier dans les architectures SAML complexes avec de multiples SP