MFA et SSO : les clefs de l’architecture réseau moderne
La MFA et la SSO sont désormais vues comme des éléments critiques de l’architecture réseau moderne. Les deux technologies sont désormais davantage liées dans l’esprit des architectes réseau.
La SSO est un outil de gestion facile d’utilisation qui permet de regrouper des accès réseau disparates sous une seule identité. Le principe est simple, l’utilisateur ne s’identifie qu’une seule fois. Cela signifie :
- Réduire la fatigue liée aux mots de passe,
- Réduire les zones d’ombre pour l’équipe informatique,
- Réduire le nombre de mots de passe facilite le travail du support informatique.
La MFA, quant à elle, est une couche de sécurité supplémentaire qui réduit les risques liés à l’utilisation d’un seul identifiant de connexion unique.
La MFA est devenue tellement importante pour une sécurité efficace, qu’elle est maintenant exigée par défaut pour de nombreux types d’accès sécurisés au réseau, notamment pour la SSO ou l’accès à distance via le VPN.
Quel gestionnaire d’identité ?
Le système de gestion des identités ou le service d'annuaire qui permet d'authentifier les utilisateurs est à la base de la SSO avec la MFA. Aujourd'hui, les planificateurs de réseaux ont presque trop de choix sur ce plan, y compris sur l'utilisation des nombreux fournisseurs d'identité cloud qui sont apparus au cours de la dernière décennie. Le fait qu'une organisation opte ou non pour cette voie dépend de plusieurs facteurs, notamment de sa volonté de devenir trop dépendante de fournisseurs externes pour remplir un rôle aussi fondamental.
Mais il y a une option plus simple avec laquelle presque toutes les organisations sont familières et qu’elles utilisent, c’est Windows Active Directory (AD) sur site. AD, bien sûr, existe depuis les années 1990, ce qui pourrait expliquer pourquoi l'idée s'est répandue qu'il n'est pas à la hauteur pour faire office de système d'identité pour la SSO. À l'ère du cloud computing, de nombreuses personnes voient AD comme un vestige de l’époque des dinosaures. Et pourtant, rien ne pourrait être plus éloigné de la vérité.
Conçue autour de l'idée d'un contrôleur de domaine sur site, l'utilisation de AD en tant que gestionnaire d'identités correspondait parfaitement à l’époque du réseau local, dans laquelle presque toutes les ressources étaient internes. Néanmoins, AD avait aussi des limites, comme la prise en charge des ressources non Windows. Avec le temps, les utilisateurs accumulaient trop d'informations d'identification au-delà des limites d'AD, ce qui les obligeait à s'authentifier plusieurs fois.
La seconde vie de AD
En dépit de cela, il est facilement possible de conserver AD comme gestionnaire d’identité pour la SSO en utilisant un autre outil tel que UserLock. Avec cette approche pragmatique, les avantages de la SSO avec Active Directory sont nombreux, parmi eux :
- Vous gardez votre répertoire AD sur site, vous savez l’utilisez et vous en êtes déjà familier,
- Vous conservez votre infrastructure d’authentification sur site, ce que de nombreuses organisations souhaitent pour une sécurité optimale, voire pour des raisons de conformité,
- Vous réduisez les risques provenant de l’utilisation d’un fournisseur d’identité cloud, qui est relié à une connexion internet,
- Vous vous appuyez sur votre investissement existant dans AD, qui est déjà un outil éprouvé pour la gestion de l'identité des utilisateurs.
Et concernant l’ADFS ?
Sur le papier, Microsoft Active Directory Federation Services (ADFS) peut faire le gros du travail, mais il peut être difficile à implémenter. Premièrement, il requière une multitude d’infrastructures complexes comme un serveur DNS et des équilibreurs de charge, en plus d'une base de données de configuration SQL et de certificats numériques. Toute perturbation de la disponibilité des certificats peut rapidement causer des problèmes. AD est censé être simple et rentable, mais ADFS peut finir par être tout sauf cela.
Mettre en place la SSO et la MFA pour Active Directory afin de sécuriser les accès au cloud
De nombreuses organisations de nos jours se demandent comment utiliser au mieux la SSO et la MFA pour Active Directory. Le nombre considérable de systèmes et d'identifiants que les utilisateurs utilisent aujourd'hui, sans compter le mélange d'applications sur site et dans le cloud de l'infrastructure moderne, peut créer des maux de tête en matière de gestion et de sécurité.
C’est le challenge de l’entreprise hybride : rapprocher les univers sur site et cloud sans les compromettre. Cela semble être une demande compliquée, mais améliorer la sécurité de AD grâce à la SSO et à la MFA est possible. . Pour la plupart des entreprises qui tentent de concilier leurs anciennes applications avec un investissement croissant dans le cloud, il s'agit du moyen le plus simple et le plus rentable d'activer la SSO pour l'ensemble de leurs utilisateurs.