SSO : qu'est-ce que l'authentification unique ? Service SSO universel pour les entreprises

Contenu
Ce que signifie l'authentification unique et son fonctionnement
Inconvénients et avantages de l'authentification unique
Exemples d'authentification unique
Service SSO universel par Hideez
Exemple de configuration d'ASA AnyConnect VPN sur Hideez Enterprise Server via SAML
Configurer ASA pour SAML via CLI
Ajouter le fournisseur de services au HES
Lorsque vous naviguez dans une application ou un site Web, vous avez probablement vu l'option de connexion avec Facebook ou GoogleEt la prochaine chose que vous savez, vous êtes magiquement connecté au site Web tiers sans même créer de compte
Ce n'est pas de la magie, c'est une technologie d'authentification unique, ou SSOQu'est-ce que c'est, comment ça marche et pourquoi tant d'organisations modernes l'utilisent-elles pour des raisons de sécurité ?
Ce que signifie l'authentification unique et son fonctionnement
L'authentification unique est un processus d'authentification des utilisateurs qui permet aux utilisateurs d'accéder à plusieurs applications avec un ensemble d'identifiants de connexion, comme un nom d'utilisateur et un mot de passeCela signifie qu'une fois qu'un utilisateur est connecté, il n'a pas à se connecter à plusieurs reprises pour chaque application liée à ce système.
En fait, l'authentification unique est un accord de gestion d'identité fédérée entre trois entités :
- Utilisateurs — Les personnes individuelles ont besoin d'accéder à différents servicesIls doivent être en mesure de gérer des informations personnelles telles que leur identifiant ou leur mot de passe, et ils doivent être identifiables de manière unique
- Fournisseurs de services (SP) — Traditionnellement, il s'agit de sites Web et d'applications auxquels les utilisateurs souhaitent accéder, mais ils peuvent inclure toutes sortes de produits et services tels que l'accès WiFi, votre téléphone ou vos appareils « Internet des objets »
- Fournisseurs d'identité (IdP) — Bases de données qui stockent les identités des utilisateurs qui peuvent ensuite être fédérées à diverses ressources informatiquesIls peuvent également stocker de nombreuses instanciations de l'identité de l'utilisateur, qui contiennent des informations telles que des noms d'utilisateur, des mots de passe, des clés SSH, des informations biométriques et d'autres attributs.L'un des fournisseurs d'identité les plus populaires de nos jours est Microsoft Active Directory, qui a été conçu pour gérer les noms d'utilisateur et les mots de passe Windows et les connecter aux ressources informatiques Windows sur site.
Pour que l'authentification unique fonctionne, la plupart des applications s'appuient sur des protocoles standard ouverts pour définir la manière dont les fournisseurs de services et les fournisseurs d'identité peuvent échanger des informations d'identité et d'authentification. Les protocoles les plus courants sont SAML, OAuth et OpenID Connect (OIDC) qui permettent en toute sécurité à un service d'accéder aux données d'un autre
Aujourd'hui, nous pouvons observer une tendance que les entreprises commencent à réaliser : le travail à distance à domicile signifie que davantage d'utilisateurs doivent se connecter à leurs comptes via Internet pour accéder à des informations importantes.Et c'est le tout nouveau domaine des vecteurs d'attaque potentielsLes criminels le savent déjà et ils en profitentAinsi, de plus en plus d'entreprises commencent à faire face à ces nouvelles menaces en mettant en œuvre des solutions SSO
Inconvénients et avantages de l'authentification unique
Le principal avantage de l'authentification unique est la grande expérience utilisateur et la commodité qu'elle apporte aux utilisateursIls ont un minimum de mots de passe à retenir, cela simplifie le processus de connexion et réduit les risques d'hameçonnage
Le SSO est particulièrement intéressant pour les entreprises exécutant des opérations à distance en raison de la COVID-19, car les services d'authentification unique offrent l'authentification la plus sécurisée et la plus conviviale pour les connexions à distanceL'utilisation de SSO peut également faire partie d'un système de gestion d'accès intégré pour un provisionnement et un déprovisionnement plus rapides des utilisateurs
D'un autre côté, l'authentification unique présente des risques car elle crée un point de défaillance unique qui peut être exploité par des pirates pour accéder à d'autres applicationsDe plus, lcomme de nombreux outils informatiques, le SSO nécessite une mise en œuvre et une configuration qui peuvent s'avérer assez coûteuses
De nombreux fournisseurs d'authentification unique facturent individuellement par fonctionnalité, de sorte que les frais s'additionnent rapidement et peuvent devenir une lourde charge pour le budget des petites et moyennes entreprises.
Quoi qu'il en soit, nous pensons que la commodité de l'authentification unique vaut toutes les lacunes qu'elle apporte
Exemples d'authentification unique
Un exemple typique et bon d'authentification unique est GoogleTout utilisateur connecté à l'un des services Google est automatiquement connecté à d'autres services tels que Gmail, Google Drive, Youtube, Google Analytics, etc.
L'authentification unique utilise généralement un service central qui orchestre l'authentification unique entre plusieurs clients, qui dans le cas de Google correspond aux comptes Google
Passons maintenant à la sécurité d'entreprise. De nos jours, il existe de nombreux produits et services d'authentification unique pour les entreprises.Il s'agit généralement de gestionnaires de mots de passe avec des composants client et serveur qui connectent l'utilisateur aux applications cibles en rejouant les informations d'identification de l'utilisateur.
Hideez Authentication Service est un exemple de solutions SSO sécuriséesL'un des avantages uniques de Hideez SSO est qu'il permet de combiner les méthodes d'authentification de base (nom d'utilisateur/mot de passe + mot de passe à usage unique) avec des connexions entièrement sans mot de passe (tokens FIDO2 ou application mobile)
Alors, comment fonctionne l'authentification unique Hideez ?
Étape 1 L'utilisateur accède à n'importe quel fournisseur de services, ieapplication supportant les protocoles SAML ou OpenID ;
Étape 2 Le fournisseur de services envoie une requête SAML/OIDC au Hideez Server, et l'utilisateur est automatiquement redirigé vers le serveur Hideez ; Étape 3 L'utilisateur est invité à saisir ses informations de connexion ou à sélectionner l'une des méthodes d'authentification disponibles : une clé de sécurité matérielle (Yubikey, multifonction Hideez Key ou tout autre jeton de sécurité physique), ou l'application mobile Hideez Authenticator ; Étape 4 Le serveur Hideez envoie un résultat d'authentification au fournisseur de services et redirige l'utilisateur vers l'application initiale Étape 5 Un utilisateur est authentifié, probablement sans rien remarquer à part quelques appels de redirection à la barre d'URL de son navigateur Hideez Single Sign-On Service est un fournisseur d'identité SAML (IdP) qui ajoute l'authentification unique à Windows Active Directory à l'aide de SAML 20 fédérationLes administrateurs peuvent configurer l'authentification unique pour n'importe quelle application Web ou mobile prenant en charge les normes OpenID Connect ou SAML Et en plus, nous rendons le SSO entièrement sans mot de passe ! Contrairement à SSO avec des connexions traditionnelles basées sur un mot de passe, Hideez SSO peut éliminer les mots de passe et les remplacer par FIDO2/application mobile expérience sans mot de passe, si possibleMême si certaines de vos applications ne prennent pas en charge les normes SAML ou OIDC et ne peuvent pas être entièrement sans mot de passe, vous pouvez utiliser la clé Hideez comme gestionnaire de mot de passe matériel et remplir automatiquement les identifiants de connexion en appuyant sur le bouton Vous pouvez choisir le facteur d'authentification le plus pratique pour vos employés : Hideez Enterprise Server s'intègre aux systèmes d'identité Microsoft Active Directory, Azure Active Directory et LDAP pour simplifier l'intégration et la gestion des utilisateurs Vos employés peuvent utiliser une seule application SSO pour accéder à toutes les choses, ce qui rend Hideez SSO Service super convivialSans oublier que vous n'avez pas à vous souvenir des identifiants de connexion ou à penser à prévenir le phishing et les vols d'identité Hideez surpasse tous les concurrents actuels en termes de commodité et de prix, offrant une conformité totale avec les normes d'authentification les plus strictes, telles que GDPR, NIST, PSD2, PSI-DSS et HIPAAEn prenant des mesures de précaution bien à l'avance, vous pouvez économiser beaucoup d'argent et de temps à long terme Planifiez une démo oudemandez un essai gratuit de 30 jours de Hideez SSO et capturez l'avenir de la sécurité sans mot de passe ! Hideez Enterprise Server (HES) prend en charge SAML 20 (Security Assertion Markup Language) pour l'authentification des utilisateursHES est un IdP (fournisseur d'identité) qui active le SSO pour toutes les applications Web (SP, fournisseur de services) prenant en charge SAML Étant donné que HES prend en charge l'autorisation sans mot de passe FIDO2, les fournisseurs de services obtiennent automatiquement la possibilité d'autoriser avec des clés de sécurité matérielles sans avoir à créer et à saisir des mots de passe Cisco vous recommande de connaître ces sujets : Les informations contenues dans ce document sont basées sur ces versions logicielles et matérielles : Les informations contenues dans ce document ont été créées à partir des appareils dans un environnement de laboratoire spécifiqueTous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut)Si votre réseau est actif, assurez-vous de bien comprendre l'impact potentiel de toute commandeVous pouvez également mapper des utilisateurs à des rôles d'application spécifiques en fonction des règles que vous définissez dans votre configuration dans Active Directory, Cisco ASA et Anyconnect SAML est un cadre basé sur XML pour l'échange de données d'authentification et d'autorisation entre les domaines de sécuritéIl crée un cercle de confiance entre l'utilisateur, un fournisseur de services (SP) et un fournisseur d'identité (IdP) qui permet à l'utilisateur de se connecter en une seule fois pour plusieurs servicesHideez Enterprise Server s'intègre de manière transparente à l'appliance VPN Cisco ASA pour fournir une sécurité supplémentaire pour les connexions VPN Cisco AnyConnect Métadonnées : il s'agit d'un document basé sur XML qui garantit une transaction sécurisée entre un IdP et un SPIl permet à l'IdP et au SP de négocier des accords Un appareil peut prendre en charge plusieurs rôles et contenir des valeurs pour un SP et un IdPSous le champ EntityDescriptor se trouve un IDPSSODescriptor si les informations contenues concernent un IdP à authentification unique ou un SPSSODescriptor si les informations contenues concernent un SP à authentification uniqueCeci est important car les valeurs correctes doivent être extraites des sections appropriées afin de configurer SAML avec succès. Entity ID : Ce champ est un identifiant unique pour un SP ou un IdPUn seul appareil peut avoir plusieurs services et peut utiliser différents identifiants d'entité pour les différencierPar exemple, l'ASA a différents ID d'entité pour différents tunnel-groupes qui doivent être authentifiésUn IdP authentifiant chaque groupe de tunnels a des entrées d'ID d'entité distinctes pour chaque groupe de tunnels afin d'identifier avec précision ces services ASA peut prendre en charge plusieurs IdP et dispose d'un ID d'entité distinct pour chaque IdP afin de les différencierSi l'un des côtés reçoit un message d'un appareil qui ne contient pas d'ID d'entité précédemment configuré, l'appareil abandonne probablement ce message et l'authentification SAML échoueL'ID d'entité se trouve dans le champ EntityDescriptor à côté de entityID URL de service : Celles-ci définissent l'URL d'un service SAML fourni par le SP ou l'IdPPour les fournisseurs d'identité, il s'agit le plus souvent du service de déconnexion unique et du service d'authentification uniquePour les SP, il s'agit généralement du service consommateur d'assertion et du service de déconnexion unique L'URL du service d'authentification unique trouvée dans les métadonnées de l'IdP est utilisée par le SP pour rediriger l'utilisateur vers l'IdP pour l'authentificationSi cette valeur n'est pas correctement configurée, l'IdP ne reçoit pas ou est incapable de traiter avec succès la demande d'authentification envoyée par le SP L'URL du service consommateur d'assertion trouvée dans les métadonnées du SP est utilisée par l'IdP pour rediriger l'utilisateur vers le SP et fournir des informations sur la tentative d'authentification de l'utilisateurS'il n'est pas configuré correctement, le SP ne reçoit pas l'assertion (la réponse) ou est incapable de la traiter avec succès L'URL du service de déconnexion unique se trouve à la fois sur le SP et sur l'IdPIl est utilisé pour faciliter la déconnexion de tous les services SSO du SP et est facultatif sur l'ASALorsque l'URL du service SLO des métadonnées de l'IdP est configurée sur le SP, lorsque l'utilisateur se déconnecte du service sur le SP, le SP envoie la demande à l'IdPUne fois que l'IdP a réussi à déconnecter l'utilisateur des services, il redirige l'utilisateur vers le SP en utilisant l'URL du service SLO trouvée dans les métadonnées du SP. Liaisons SAML pour les URL de service : les liaisons sont la méthode utilisée par le SP pour transférer des informations à l'IdP et vice versa pour les servicesCela inclut la redirection HTTP, HTTP POST et l'artefactChaque méthode a une manière différente de transférer des donnéesLa méthode de liaison prise en charge par le service est incluse dans la définition de ce servicePar exemple : SingleSignOnService Binding="urn:oasis:names:tc:SAML:20:liaisons:HTTP-Redirect" Location="https://samlexemplecom/simplesaml/saml2/idp/SSOServicephp"/ >L'ASA ne prend pas en charge la liaison d'artefactL'ASA utilise toujours la méthode de redirection HTTP pour les demandes d'authentification SAML, il est donc important de choisir l'URL du service SSO qui utilise la liaison de redirection HTTP afin que l'IdP s'attende à cela. Pour assurer la confidentialité et l'intégrité des messages envoyés entre le SP et l'IdP, SAML inclut la possibilité de chiffrer et de signer les donnéesLe certificat utilisé pour chiffrer et/ou signer les données peut être inclus dans les métadonnées afin que le destinataire puisse vérifier le message SAML et s'assurer qu'il provient de la source attendueLes certificats utilisés pour la signature et le chiffrement se trouvent dans les métadonnées sous KeyDescriptor use="signing" et KeyDescriptor use="encryption", respectivement, puis X509CertificateL'ASA ne prend pas en charge le cryptage des messages SAML Les IdP et les fournisseurs de services doivent échanger des certificats de clé publique, des adresses pour les demandes et d'autres paramètres pour établir une acceptation entre eux Un certificat dans le "pfx" est nécessaire au fonctionnement du protocole SAMLIl peut être généré, par exemple, via une application OpenSSL ou en utilisant un certificat existantLe fichier de certificat doit être copié sur le serveur HES (par ex.gle dossier avec les fichiers binaires et les paramètres) Connectez-vous au serveur HES, puis allez dans Paramètres -> Paramètres -> SAMLAppuyez ensuite sur le bouton [Définir les paramètres IdP] : Sélectionnez votrepfx et saisissez le mot de passe dupfxVous devez également sélectionner l'algorithme approprié : SignatureAlgorithm - un algorithme de signatureIl doit correspondre à l'algorithme avec lequel le certificat pfx a été établiLes options possibles sont SHA1, SHA256, SHA384, SHA512 Sur la même page (Settings -> Parameters -> SAML), après avoir défini lecertificat pfx, vous pouvez : Les métadonnées sont un fichier XML qui contient toutes les informations nécessaires sur les paramètres IdP et le certificat de clé publiqueASA vous permet d'importer des métadonnées IdP lors de la configuration de SAML, ce qui simplifie la configurationVous pouvez également télécharger un certificat séparé, si nécessaire, ou afficher toutes les métadonnées à l'écran Pour les étapes suivantes, vous devez télécharger le fichier de métadonnées et les fichiers de certificat Étape 1Créez un point de confiance et importez notre certificat SAML # config t # point de confiance crypto ca HES-SAML révocation-check none pas d'utilisation d'identifiant borne d'enrôlement pas de contrôle ca # crypto ca authentifier HES-SAML -----COMMENCER LE CERTIFICAT----- … Texte du certificat IdP HES que vous avez téléchargé à l'étape précédente … -----END CERTIFICAT----- # quitter Étape 2 Provisionnez votre fournisseur d'identité SAML # webvpn # saml idp https://exemplecachez-vouscom/ # URL de connexion https://exemplecachez-vouscom/Saml/Connexion # déconnexion de l'url https://examplecachez-vouscom/Saml/Logout # idp du point de confiance HES-SAML - [IdP Trustpoint] # point de confiance sp ASA-EXTERNAL-CERT - [Point de confiance SP] # aucune ré-authentification forcée # pas de signature # URL de base https://asaexemplecom Étape 3 Appliquer l'authentification SAML à une configuration de tunnel VPN # groupe de tunnels TUNNEL-GROUP-NAME attributs webvpn fournisseur d'identité SAML https://exemplecachez-vouscom/ échantillon d'authentification # fin # mémoire d'écriture Étape 4 Obtenir le fichier de métadonnées SAML ASA Exécutez la commande suivante : # afficher les métadonnées SAML TUNNEL-GROUP-NAME Copiez ensuite le texte des métadonnées dans un fichier xml et enregistrez-le Remarque : Si vous apportez des modifications à la configuration de l'IdP, vous devez supprimer la configuration du fournisseur d'identité saml de votre groupe de tunnels et la réappliquer pour que les modifications prennent effet Connectez-vous au serveur HES, puis allez dans Paramètres -> Paramètres -> SAMLAppuyez ensuite sur le bouton [Ajouter un fournisseur de services] Sur le formulaire suivant, vous pouvez ajouter un fichier de métadonnées ou remplir tous les paramètres manuellement : Étant donné que l'IdP et le SP peuvent utiliser des identifiants différents pour les utilisateurs, un mécanisme de mise en correspondance de ces identifiants est nécessaire pour établir une correspondance biunivoque entre les utilisateurs des deux servicesL'identifiant de l'utilisateur (login) dans HES est son e-mail, bien qu'il puisse s'agir d'autre chose dans d'autres systèmes (par ex.gune combinaison du prénom et du nom de l'utilisateur) Si votre configuration ASA et AD accepte les e-mails comme ID utilisateur, vous devez définir : Format de l'identifiant du nom - Champ de l'identifiant du nom de l'e-mail - E-mail Si la configuration ASA et AD n'accepte pas l'e-mail comme ID utilisateur, vous devez définir le format que vous utilisez dans le champ "Name Identifier Format" et la valeur "ID externe" dans le champ "Name Champ "Identifiant"Ensuite, vous devez remplir le champ 'ID externe' pour chaque employéPour ce faire, cliquez sur Employés -> 'Sélectionner un employé -> Détails -> Modifier les paramètres (dans la section Authentification unique) -> Modifier l'ID externe Après avoir rempli et enregistré tous les paramètres, vous pouvez vérifier l'intégration en vous connectant au fournisseur de servicesVous devriez être redirigé vers la page d'authentification HES où vous devrez entrer votre nom d'utilisateur (e-mail) et passer la vérification de la clé de sécurité Les employés ne peuvent pas se connecter au service HES et utiliser le service SSO par défaut, ils doivent avoir une autorisation explicite de l'administrateurSélectionnez un employé et cliquez sur le bouton [Modifier]Cliquez ensuite sur le bouton [Activer SSO] sur la page ouverte pour donner l'autorisation Remarque : Un employé doit avoir un e-mail et une clé associée pour activer le service SSO Le service SSO est automatiquement activé et ne peut pas être désactivé pour tous les administrateurs HES Si l'ID externe est utilisé comme champ d'identification du nom, vous devez également remplir ce champOuvrez 'Employés' -> 'Sélectionner un employé' -> 'Modifier' pour modifier le champ ID externe Certains fournisseurs de services peuvent ne pas prendre en charge cette fonctionnalité Connectez-vous à votre URL VPN et choisissez l'une de vos options de connexion dans la fenêtre Hideez Enterprise Server, puis utilisez vos identifiants pour vous connecter : AnyConnect est connecté : Exemple de débogage : [SAML] consomme_assertion : l'identifiant d'un fournisseur est inconnu de #LassoServerPour enregistrer un fournisseur dans un objet #LassoServer, vous devez utiliser les méthodes lasso_server_add_provider() ou lasso_server_add_provider_from_buffer() Problème : Signifie généralement que la commande saml idp [entityID] sous la configuration webvpn de l'ASA ne correspond pas à l'ID d'entité IdP trouvé dans le Métadonnées de l'IdP Solution : Vérifiez l'ID d'entité du fichier de métadonnées de l'IdP et modifiez la commande saml idp [entity id] pour qu'elle corresponde à celle-ci Exemple de débogage : [SAML] NotBefore :2017-09-05T23:59:01896Z NotOnOrAfter:2017-09-06T00:59:01Délai d'attente 896Z : 0 [SAML] consume_assertion : l'assertion a expiré ou n'est pas valide Problème 1L'heure de l'ASA n'est pas synchronisée avec l'heure de l'IdP Solution 1Configurer ASA avec le même serveur NTP utilisé par IdP Problème 2L'assertion n'est pas valide entre le temps spécifié Solution 2Modifier la valeur du délai d'attente configurée sur l'ASA Exemple de débogage : [Lasso] func=xmlSecOpenSSLEvpSignatureVerify:file=signaturesc:line=493:obj=rsa-sha1:subj=EVP_VerifyFinal:error=18 :les données ne correspondent pas :la signature ne correspond pas [SAML] consomme_assertion : le profil ne peut pas vérifier une signature sur le message Problème : ASA incapable de vérifier le message signé par l'IdP ou il n'y a pas de signature à vérifier par l'ASA Solution : Vérifiez le certificat de signature IdP installé sur l'ASA pour vous assurer qu'il correspond à ce qui est envoyé par l'IdPSi cela est confirmé, assurez-vous que la signature est incluse dans la réponse SAML Exemple de débogage : [SAML] consomme_assertion : l'audience d'assertion n'est pas valide Problème : IdP définit l'audience incorrecte Solution : Corrigez la configuration de l'audience sur l'IdPIl doit correspondre à l'ID d'entité de l'ASA Exemple de débogage : impossible de recevoir des débogages après l'envoi de la demande d'authentification initialeL'utilisateur peut entrer des informations d'identification sur l'IdP mais l'IdP ne redirige pas vers l'ASA Problème : IdP est configuré pour la mauvaise URL de service consommateur d'assertion Solution(s) : Vérifiez l'URL de base dans la configuration et assurez-vous qu'elle est correcteVérifiez les métadonnées ASA avec show pour vous assurer que l'URL du service consommateur d'assertion est correcteAfin de le tester, parcourez-le, si les deux sont corrects sur l'ASA, vérifiez l'IdP pour vous assurer que l'URL est correcte Exemple : Après la modification ou le changement d'une URL de connexion unique, le certificat SP, SAML ne fonctionne toujours pas et envoie les configurations précédentes Problème : ASA doit régénérer ses métadonnées lorsqu'un changement de configuration l'affecteIl ne le fait pas automatiquement Solution : Après avoir apporté des modifications, sous le groupe de tunnels concerné, supprimez et réappliquez la commande saml idp [entity-id] La plupart des dépannages SAML impliquent une mauvaise configuration qui peut être détectée lorsque la configuration SAML est vérifiée ou que des débogages sont exécutésdebug webvpn saml 255 peut être utilisé pour résoudre la plupart des problèmes, mais dans les scénarios où ce débogage ne fournit pas d'informations utiles, des débogages supplémentaires peuvent être exécutés : Vous avez besoin d'aide ? Essayez de rechercher dans nos articles de la base de connaissances ou contactez Assistance pour obtenir de l'aide Service SSO universel par Hideez
Exemple de configuration d'ASA AnyConnect VPN sur Hideez Enterprise Server via SAML
Exigences
Composants utilisés
Informations générales
Composants SAML
Rôles pris en charge par les appareils (IdP, SP)
Certificats pour les opérations de signature et de chiffrement
Configurer HES en tant qu'IdP
Étape 1Définir les paramètres du fournisseur d'identité
Étape 2Obtenir le fichier de métadonnées HES
Configurer ASA pour SAML via CLI
Ajouter le fournisseur de services au HES
Vérification finale
Étape 1Activer SSO pour un utilisateur dans le HES
Étape 2Se connecter à un service Web à l'aide de SAML
Problèmes courants
1ID D'ENTITÉ INCOMPATIBLE
2DÉCORDEMENT HORAIRE
3UTILISATION D'UN CERTIFICAT DE CHANT IDP ERRONÉ
4AUDIENCE D'ASSERTION INVALIDE
5URL ERRONÉE POUR LE SERVICE CONSOMMATEUR D'ASSERTION
5LES MODIFICATIONS DE LA CONFIGURATION SAML NE PRENDENT PAS EFFET
Dépannage