Les critères de choix

Une solution d'identification unique (SSO pour Single Sign On) permet de simplifier l'accès aux applications en demandant à l'utilisateur de saisir une fois pour toute identifiant et mot de passe en début de session. Ainsi le SSO apparaît comme une brique essentielle d'un projet de gestion des identités, plus global et structurant.

"Les projets de SSO ne sont pas tant technique qu'organisationnel, et ne devraient pas être implémentés avant que l'entreprise n'ait mis au point son méta-annuaire", prévient Gwenwal Riou Duchemin, directeur avant-vente au pôle infrastructure et système de chez Communications & Systèmes.

Le marché du SSO s'articule autour de deux types de solutions : celles qui sont orientées client-serveur - SSO lourd - et nécessitent d'installer un agent sur le poste, et d'autres qui reposent sur un navigateur Web - WebSSO -. Nous nous intéressons ici à la première catégorie d'offres.

Les solutions de SSO lourd peuvent faire appel à l'infrastructure serveur de l'entreprise ou reposer uniquement sur les annuaires LDAP. "Les solutions s’appuyant sur l’annuaire LDAP peuvent nécessiter une extension de schéma de l’annuaire par exemple sur Active Directory, ce qui peut créer des tensions internes en raison d’une augmentation de la taille de l’annuaire", avertit Benoît Tanguy, responsable du département Solutions de sécurité chez Idesys (groupe Solucom).

Certaines solutions permettent par ailleurs la délégation des crédentiels ou bien la gestion des comptes partagés : "alors que la délégation est temporaire et souvent limitée à une personne, la gestion du compte partagé permettra à un ensemble d’utilisateurs d’utiliser un seul compte", poursuit Benoît Tanguy.

Enfin, les solutions proposées peuvent être à même de supporter nativement différentes méthodes d'authentification fortes telles que cartes à puce, tokens (jetons), certificats x.509 ou encore biométrie.