Lors de l’installation d’une nouvelle application ou système il est souvent question de la méthode à utiliser pour prendre en charge l’authentification des utilisateurs.
Deux méthodes existent :
- L’authentification centralisée via SSO : Soit l’utilisation par les utilisateurs d’un seul compte Active Directory leur permettant d’accéder à un nombre illimité de systèmes et applications.
- L’authentification décentralisée via des comptes locaux : Soit l’utilisation par les utilisateurs d’un compte local différent sur chaque application et système.
Ces deux méthodes d’authentification ont des avantages et des inconvénients. Nous vous les présentons dans cet article et vous proposons une piste de réflexion pour vous aider dans votre choix.
Authentification centralisée via SSO
- Avantages : l’utilisateur n’a besoin de connaitre qu’un seul compte et mot de passe pour accéder à un grand nombre de ressources informatiques. Le SSO a pour avantage de faciliter grandement la gestion des comptes utilisateurs (créations et suppressions) tout en offrant une expérience d’utilisation simplifiée aux utilisateurs.
- Inconvénients : du point de vue de la sécurité le SSO est un « single point of failure ». Si l’environnement Active Directory (ou un compte privilégié) est compromis alors des intrus pourront facilement compromettre l’ensembles des applications et systèmes utilisant le SSO de l’Active Directory.
Authentification décentralisée via des comptes locaux
- Avantages : La sécurité d’une application dépendra beaucoup moins de la sécurité de votre environnement Active Directory (plus difficile à sécuriser).
- Inconvénients : La création pour chaque utilisateur d’un compte local différent sur chaque application et système complexifie la gestion des comptes utilisateurs (créations et suppressions). De plus, l’expérience utilisateur s’en retrouve complexifiée. En effet, pour se connecter à leurs services les utilisateurs devront mémoriser un compte et un mot de passe pour chaque application et système n’utilisant pas le SSO mis à disposition par l’Active Directory.
Quelle méthode choisir?
La décision de centraliser (via le SSO Active Directory) ou de décentraliser (via des comptes locaux) l’authentification de vos utilisateurs doit être le fruit d’une analyse approfondie de la sécurité de votre système d’information.
Cependant cette règle reste universelle :
" Si votre application ou système est critique pour votre entreprise et que vous n’êtes pas confiant en la sécurité de votre environnement Active Directory alors il est fortement conseillé d’utiliser une méthode d’authentification décentralisée (créer des comptes utilisateurs locaux différents pour chaque application et système critique). "
Pour évaluer la sécurité de votre environnement Active Directory il est important de bien comprendre les relations qu’entretiennent Active Directory, applications, systèmes et comptes utilisateurs au sein de votre organisation.
En effet, la sécurité d’un environnement Active Directory ne se limite pas à la sécurité des serveurs Windows hébergeant l’Active Directory (les contrôleurs de domaine).
Elle s’étend aussi à toute les ressources informatiques utilisant les mécanismes d’authentification mis à disposition par l’Active Directory.
Ainsi le hack d’un ordinateur, d’un serveur ou d’une application utilisant l’Active Directory comme service d’authentification peut dans certains cas mettre en péril la sécurité de tout votre environnement Active Directory.