March 20, 2019

Active Directory Federation Services

  1. Qu'est-ce qu'ADFS?
Active Directory Federation Services (littéralement, services de répertoires actifs fédérés), ou ADFS, est un composant de logiciel publié par Microsoft en 2003. Sa principale fonction est de permettre aux utilisateurs de Windows d'exploiter une fonction de Single Sign-On (SSO, ou authentification unique) pour une multitude de systèmes et d’applications. Les versions les plus récentes d'ADFS se fondent sur un protocole nommé SAML 2.0 (Security Assertion Markup Language, ou langage de balisage d'assertion de sécurité) qui permet l'échange sécurisé de données d'authentification et d'autorisation.
  1. Qu'est-ce que Single Sign-On?
Single Sign-On est le nom donné à une méthode pour les utilisateurs d'accéder de manière transparente à plusieurs systèmes et applications à accès restreint en n'utilisant qu'un seul ensemble de nom d'utilisateur et de mot de passe. Cette méthode exploite les informations se trouvant dans un répertoire sécurisé de données d'utilisateurs (ce répertoire comprend généralement plusieurs ensembles uniques - connus sous le nom d'identités - de noms complets et de numéros d'employé ainsi que d'autres renseignements, tels que des numéros de téléphone et des adresses courriel) pour confirmer qu'un utilisateur donné est bel et bien la personne qu'il ou qu'elle prétend être. Cette méthode vérifie aussi la liste des systèmes auxquels l’utilisateur a l’autorisation ou non d’utiliser à l'aide d'un système de hiérarchie.
  1. Quels sont les avantages offerts par SSO pour les utilisateurs finaux?
Il peut être plutôt délicat de convaincre une équipe d'adopter de nouvelles technologies. Comme les employés cherchent à se concentrer sur ce qui compte vraiment pour eux - généralement, leur travail - ils peuvent souvent démontrer une certaine résistance aux changements technologiques.  La technologie est trop souvent perçue comme un fardeau, ce qui peut être vrai lorsqu'elle entrave le flux de travail quotidien plus qu'elle n'y contribue. Lorsque l'on prend en considération le temps de formation et les efforts requis pour exploiter cette technologie-fardeau, il n'est pas surprenant de se retrouver avec des employés insatisfaits de leur emploi, moins productifs et qui contournent les procédures normales pour éviter d'avoir à affronter ce qui est perçu comme étant néfaste. Devons-nous vraiment parler de l'impact financier et humain de cette affaire? En fin de compte, le bon genre de technologie devrait être invisible mais intégré, comme un genre de prolongement de la volonté des employés, si on veut, et jamais le contraire. Ne laissez pas la lassitude de mots de passe s'attaquer à vos employés.
Pour les utilisateurs finaux, les avantages principaux de SSO proviennent de sa capacité à transformer plusieurs ensembles d'identifiants utilisateurs (nom d'utilisateur et mot de passe) en un seul ensemble d'identifiants. Prenons le cas d'infirmières et de médecins qui, par exemple, peuvent utiliser jusqu'à 100 applications dans le cadre de leur travail. Mettez-vous dans leur peau : pouvez-vous imaginer avoir à vous connecter à chacune d'entre ces applications à chaque fois que vous devez effectuer une simple tâche de routine? Souvenez-vous que vous travaillez dans le domaine de la santé, où chaque seconde peut compter... Est-ce que cela semble encombrant? Imaginez maintenant devoir vous souvenir de vos identifiants pour chacune de ces applications. Vous pourriez, bien entendu, tricher et n'utiliser qu'une poignée de combinaisons d'identifiants, ou encore, noter vos identifiants sur un bout de papier... jusqu'à ce que quelqu'un de malicieux ne les trouve, bien entendu. Ce qui ferait de votre expérience un excellent exemple de brèche de sécurité et de manquement à un protocole de sécurité de base.
  1. Quels sont les avantages offerts par SSO pour les gestionnaires?
S'il peut être difficile de quantifier les inconvénients d’environnements n'ayant pas adopté SSO pour l'utilisateur final moyen, il est très facile de le faire pour un gestionnaire. Saviez-vous que la source la plus importante de problèmes de service à la clientèle était la perte ou l'oubli d'identifiants? Sans parler du temps de production perdu par les employés tentant de se remémorer leur mot de passe (avais-je bien mis une majuscule au nom du chat?) et devant ensuite attendre une réponse du service de soutien. Les employés dépendant littéralement d'applications pour travailler se retrouvent trop souvent coincés entre la perte de temps et le service à la clientèle qui, lui, semble au contraire prendre tout son temps pour répondre. Et qui entraîne en plus des coûts.
Sans même prendre les erreurs d'utilisateurs en considération, les identifiants prennent beaucoup de temps à configurer et à utiliser. Combien de mots de passe devez-vous configurer pour chacun de vos employés? Combien de personnes travaillent pour vous? Combien de mots de passe l'employé moyen utilise-t-il par jour? À quelle vitesse peut-il les saisir? Combien de temps de chargement y a-t-il entre chacune de ces étapes? Quelle est la probabilité que les employés se trompent? Quelques suppositions éclairées suffisent à démontrer comment SSO peut entraîner des RCI pour les années à venir, sinon pour toujours, selon vos plans. Retenez néanmoins que les identifiants en eux-mêmes ne sont pas le problème; c'est bien la gestion d'une multitude d'entre eux qui l'est! SSO s'attaque donc au cœur du problème.
Une autre caractéristique intéressante de SSO est sa capacité de rapidement octroyer ou retirer l'accès d'un employé donné à un ensemble d'applications. Ce qui est particulièrement utile pour les grandes entreprises où le roulement d'employé est important. Si l'on estime que chaque employé doit utiliser une quinzaine d'applications dans le cadre de son travail, c'est une quinzaine d'applications qu'un gestionnaire doit aussi activer ou désactiver, selon le cas.  SSO permet de faciliter la tâche et de la rendre beaucoup moins redondante pour ce gestionnaire.

No comments:

Post a Comment

How to Install Docker CE on CentOS 8 and RHEL 8

  Docker  is a daemon-based container engine which allows us to deploy applications inside containers.  Docker is available in two versions,...