Qu’est-ce que SAML et comment ça marche ?

Security Assertion Markup Language (SAML) est un standard ouvert qui permet aux fournisseurs d’identité (IdP) de transmettre des données d’identification aux fournisseurs de service. Cela signifie que vous pouvez utiliser...
Michael Buckbee
4 minute de lecture
Dernière mise à jour 29 octobre 2021

Security Assertion Markup Language (SAML) est un standard ouvert qui permet aux fournisseurs d’identité (IdP) de transmettre des données d’identification aux fournisseurs de service. Cela signifie que vous pouvez utiliser un ensemble de données d’identification pour vous connecter à de nombreux sites Web différents. Il est plus simple de gérer une seule connexion par utilisateur que de gérer des informations de connexion séparées pour la messagerie, le logiciel de gestion de la relation client (CRM) et Active Directory, etc.

Les transactions SAML utilisent le XML (Extensible Markup Language) pour les communications normalisées entre le fournisseur d’identité et les fournisseurs de service. SAML est le lien entre l’authentification de l’identité d’un utilisateur et l’autorisation à utiliser un service.

Le Consortium OASIS a approuvé SAML 2.0 en 2005. La norme a tellement évolué depuis la version 1.1 que les versions ne sont pas compatibles. L’adoption de SAML permet aux services informatiques d’utiliser des solutions de « software as a service » (SaaS) tout en maintenant un système de gestion des identités à la fois fédéré et sûr.

SAML autorisant l’authentification unique (SSO), les utilisateurs peuvent se connecter une seule fois et réutiliser ces mêmes identifiants pour se connecter à d’autres fournisseurs de service.

À quoi sert SAML ?

SAML simplifie les processus fédérés d’authentification et d’autorisation pour les utilisateurs, les fournisseurs d’identité et les fournisseurs de service. SAML propose une solution permettant à votre fournisseur d’identité et aux fournisseurs de service d’exister indépendamment les uns des autres, ce qui a pour effet de centraliser la gestion des utilisateurs et de permettre l’accès à des solutions SaaS.

SAML met en œuvre une méthode sécurisée de transfert des autorisations et authentifications entre le fournisseur d’identité et les fournisseurs de service. Lorsqu’un utilisateur se connecte à une application compatible SAML, le fournisseur de service demande une autorisation auprès du fournisseur d’identité concerné. Le fournisseur d’identité authentifie les données d’identification de l’utilisateur puis retourne l’autorisation de l’utilisateur au fournisseur de service. L’utilisateur est alors en mesure d’utiliser l’application.

L’authentification SAML est la procédure consistant à vérifier l’identité et les données d’identification de l’utilisateur (mot de passe, authentification à deux facteurs, etc.). L’autorisation SAML indique au fournisseur de service quel accès accorder à l’utilisateur authentifié.

Qu’est-ce qu’un fournisseur SAML ?

Two Types of SAML providers

Un fournisseur SAML est un système qui aide un utilisateur à accéder au service dont il a besoin. Il existe deux principaux types de fournisseurs SAML : le fournisseur de service et le fournisseur d’identité.

  • Un fournisseur de service a besoin que le fournisseur d’identité procède à l’authentification pour pouvoir accorder l’autorisation à l’utilisateur.
  • Un fournisseur d’identité procède à l’authentification pour vérifier que l’utilisateur final est bien qui il prétend être, et envoie ces données au fournisseur de service en y joignant les droits d’accès de l’utilisateur pour ce service.

Parmi les fournisseurs d’identité connus, on trouve Microsoft Active Directory ou Azure. Salesforce et les autres solutions de CRM sont généralement des fournisseurs de service dans le sens où elles dépendent d’un fournisseur d’identité pour l’authentification des utilisateurs.

Qu’est-ce qu’une assertion SAML ?

Une assertion SAML est le document XML contenant l’autorisation utilisateur que le fournisseur d’identité envoie au fournisseur de service. Il existe trois types d’assertions SAML : l’authentification, l’attribution et la décision d’autorisation.

  • Les assertions d’authentification prouvent l’identification de l’utilisateur et indiquent l’heure de connexion et la méthode d’authentification utilisée (Kerberos, deux facteurs, etc.)
  • L’assertion d’attribution transmet les attributs SAML au fournisseur de service. Les attributs SAML sont des éléments de données spécifiques qui apportent des informations sur l’utilisateur.
  • L’assertion de décision d’autorisation indique si l’utilisateur est autorisé à utiliser le service, ou si le fournisseur d’identité a refusé sa demande en raison d’un échec de mot de passe ou de l’absence de droits pour le service.

Comment SAML fonctionne-t-il ?

SAML fonctionne en transmettant des informations sur les utilisateurs, les connexions et les attributs entre le fournisseur d’identité et les fournisseurs de service. Chaque utilisateur se connecte une fois par Authentification unique (SSO) auprès du fournisseur d’identité qui transmet les attributs SAML au fournisseur de service lorsque l’utilisateur tente d’accéder à ces services. Le fournisseur de service demande au fournisseur d’identité de lui fournir l’autorisation et l’authentification. Étant donné que ces deux systèmes parlent le même langage (SAML), l’utilisateur n’a besoin de se connecter qu’une seule fois.

Chacun des fournisseurs d’identité et des fournisseurs de service doit accepter la configuration pour SAML. Pour que l’authentification SAML fonctionne, chaque extrémité doit disposer de la bonne configuration.

SAML example steps

Exemple SAML

  1. Frodon (l’utilisateur) se connecte tôt le matin en SSO.
  2. Il essaie alors d’ouvrir une page Web dans son logiciel de CRM.
  3. Le logiciel de CRM (le fournisseur de service) contrôle les données d’identification de Frodon auprès du fournisseur d’identité.
  4. Le fournisseur d’identité renvoie des messages d’autorisation et d’authentification au fournisseur de service, qui autorise Frodon à se connecter au logiciel de CRM.
  5. Frodon peut utiliser le logiciel de CRM et faire son travail
    « Besoin de 8 volontaires pour une mission difficile… »

Comparaison entre SAML et OAuth

OAuth est une norme un peu plus récente développée conjointement par Google et Twitter pour rationaliser les connexions Internet. OAuth utilise une méthodologie comparable à celle de SAML pour partager les informations de connexion. SAML apporte davantage de contrôle aux entreprises afin de mieux protéger leurs connexions SSO, tandis qu’OAuth, qui utilise JSON, est plus performant pour les appareils mobiles.

Facebook et Google sont deux fournisseurs OAuth que vous utilisez peut-être pour vous connecter à d’autres sites Internet.

Didacticiels sur SAML

Voici quelques ressources pour mieux comprendre comment mettre en œuvre SAML :

SAML et le SSO jouent un rôle important dans n’importe quelle stratégie de cybersécurité d’entreprise. Les meilleures pratiques de gestion des identités préconisent que les comptes utilisateur aient uniquement accès aux ressources dont l’utilisateur a besoin pour faire son travail, et qu’ils soient contrôlés et gérés de manière centralisée. En utilisant une solution de SSO, vous pouvez désactiver des comptes d’un système et retirer en un seul geste l’accès à toutes les ressources disponibles, pour protéger ainsi vos données du vol.

Varonis protège vos services Active Directory centraux, ce qui contribue à protéger vos systèmes SSO et SAML. Varonis détecte les attaques qui visent votre système AD bien avant que les hackers ne puissent accéder aux ressources SSO. Bénéficiez d’une démo individuelle pour voir comment Varonis protège Active Directory et vos dépôts de données les plus importants des cyberattaques et des menaces internes.

Que dois-je faire maintenant ?

Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

1

Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

2

Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

3

Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

Essayez Varonis gratuitement.

Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
Se déploie en quelques minutes.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

varonis-annonce-des-intégrations-avec-sentinelone-et-microsoft-defender-for-endpoint
Varonis annonce des intégrations avec SentinelOne et Microsoft Defender for Endpoint
Varonis s’intègre désormais avec les principaux fournisseurs EDR, Microsoft Defender for Endpoint et SentinelOne, étendant ainsi la visibilité de notre solution MDDR aux terminaux des clients.
7-recommandations-pour-la-protection-des-données-selon-andras-cser-de-l’institut-forrester
7 recommandations pour la protection des données selon Andras Cser de l’institut Forrester
Par David Gibson Varonis organisait il y a quelques semaines un webinar à propos de l’utilisation du contexte d’identité au service de la protection des données. Andras Cser de l’institut...
comprendre-et-appliquer-le-modèle-de-responsabilité-partagée-dans-votre-entreprise
Comprendre et appliquer le modèle de responsabilité partagée dans votre entreprise
Pour éviter des failles de sécurité et des risques majeurs pour les données sensibles, les entreprises doivent comprendre le modèle de responsabilité partagée utilisé par de nombreux fournisseurs SaaS.
la-différence-entre-windows-server-active-directory-et-azure-ad
La différence entre Windows Server Active Directory et Azure AD
Il fût un temps où les professionnels de l’informatique croyaient que les risques liés à une fuite de données et au piratage des données d’identification étaient suffisamment importants pour justifier...