La gestion des identités, et notamment des accès liés à celle-ci est devenue une problématique majeure dans le paysage numérique actuel. Les entreprises sont à la recherche de solutions solides pouvant allier sécurité et conformité tout en simplifiant les processus.
Parmi les solutions qui ont émergé, Sign&Go d’Ilex se démarque de par une expérience utilisateur novatrice. Explorons ensemble le fonctionnement de Sign&Go et comparons le avec d'autres outils du marché !
Qu’est-ce que Sign&Go par Ilex
Sign&Go par Ilex, rebaptisé depuis Ilex Access Management Solution, est une solution française de SSO (Single-Sign-On). D’abord indépendante, elle appartient à présent au groupe Inetum depuis fin 2021.
Pour rappel, le SSO est un mécanisme qui permet de simplifier les accès utilisateurs. L’utilisateur doit s’authentifier une seule fois, auprès de l’outil de fédération d’identité (FI), Sign&Go ici, pour accéder à toutes les applications configurées auprès de la FI sans avoir à se reconnecter.
Cet outil multi-modules qui permet de répondre aux différents besoins d’une entreprise en termes de :
- SSO Web
- SSO d’Entreprise
- SSO mobile
- Fédération d’identité
Grâce à son architecture et par ses fonctions d’audits et d’administrations centralisées, cette solution, rapide à mettre en oeuvre, permet aux utilisateurs de s’authentifier de multiples façons sur de nombreux supports :
- Ordinateur
- Portable
- Application web
- Client lourd, Fido2, etc…
Solution OnPremise, les serveurs et services Sign&Go sont hébergés à l’intérieur du SI de l’entreprise qui l’utilise.
Sign&Go, Ping et Okta
Pour mieux comprendre la position de Sign&Go sur le marché, nous pouvons le comparer à d’autres acteurs majeurs du marché des outils de SSO.
Premier exemple : Okta
- Okta est une solution SaaS qu’on ne présente plus. Elle offre une prise en main rapide, simple permettant de répondre à de nombreuses problématiques.
- Plus équilibrée et efficace que Sign&Go, elle permet de gérer les accès utilisateurs aux différentes applications depuis n’importe quel appareil (mobile, ordinateur, tablette).
- Son utilisation ne nécessite aucun script pour fonctionner, mais permet tout de même des customisations. On parle de connecteurs pour chaque application selon les besoins.
La différence majeure entre Okta et Sign&Go réside dans la capacité de ce dernier d’être entièrement personnalisable (via script). Cela permet de répondre à tous besoins spécifiques en termes d'authentification forte, de gestion de certificats et de fédération d’identité.
Les entreprises du secteur bancaire, dont les exigences en matière de sécurité des accès et de conformité règlementaire sont élevées, ont ce besoin de personnalisation par exemple.
Concrètement Sign&Go permet tous types de uses cases utilisateurs, encore faut-il en avoir besoin :
- Il est possible de forcer l’utilisateur à utiliser le push mobile pour se connecter à la session Windows ou même de garder une authentification forte sur un poste (via empreinte digitale ou push mobile) sans que ce dernier ait à rentrer ses mots de passe.
- Pour personnaliser une réponse SAMLv2 de Sign&Go à une application et d’ajouter des claims/informations, il peut être nécessaire de passer par un script quand une simple configuration est nécessaire sur Okta. En revanche, cela permet d’effectuer n’importe quel process/travail (interaction des annuaires, autres applications ou schémas, etc…) sur la donnée avant envoi.
Deuxième exemple : Ping
- Solution On-Premise, Ping peut être placé au même niveau que Okta en termes de fonctionnalités et de simplicité de configuration.
- Comme Sign&Go, Ping permet de gérer les authentifications sur tous types de supports. Néanmoins, il est indispensable d’avoir l’autre solution de Ping, Ping ID solution SaaS.
La différence majeure est qu’il faut non pas une mais deux solutions Ping afin d’obtenir les mêmes fonctionnalités que Sign&Go. Il faut tout de même noter que les fonctionnalités offertes par Ping couvrent un plus large éventail que Sign&Go et que ces dernières sont bien plus opérationnelles et simples de configuration.
Le besoin et le budget seront un choix décisif pour choisir l'application de votre entreprise !
Schéma d’authentification : ouverture de poste Windows
Dans cet exemple, nous avons créé un schéma pour gérer une authentification utilisateur. C’est un schéma dit adaptatif car nous pouvons pour chaque étape de notre schéma en fonction de nos critères définir des comportements si nos critères sont remplis ou non (chaque critère est peut être scripté, allant de filtrer les adresses IPs, les agents des webapps ou même l’agent d’un navigateur).
Notre première étape consiste à vérifier le domaine que l’utilisateur utilise pour se connecter avec son poste.
- Si le domaine est celui que nous avons défini dans notre critère, l’utilisateur sera redirigé vers le schéma d’authentification 1 (par exemple une authentification via empreinte digitale).
- Dans le cas contraire il sera redirigé vers le schéma d’authentification 2 (par exemple une authentification via clé Fido2).
Une fois ce comportement passé, l’étape suivante consiste à vérifier si :
- L’utilisateur à un mobile enrôlé
- L’utilisateur s’est déjà connecté sur ce poste
Si c’est le cas, nous pouvons par exemple lui faire remplir ses questions/réponses (utilisées pour récupérer son mot de passe en cas d’oubli) puis le faire s’authentifier via un push mobile (sur l’application Sign&Go authentificateur).
Une fois ce dernier validé, sa session sera ouverte.
Si l’utilisateur s’est déjà connecté sur le poste, nous pouvons l’envoyer sur un schéma en login/mot de passe.
Une fois ce dernier saisi, sa session sera ouverte.
Chaque critère et étape de ce schéma peuvent être scriptés afin de personnaliser totalement le schéma et les process qui se jouent derrière l’authentification de l’utilisateur.
Sign&Go : un outil souple et customisable à souhait mais complexe
Les avantages de Sign&Go
L’authentification poste est supportée sans module supplémentaire :
- Cela signifie que l’utilisateur qui ouvre sa session Windows sur son ordinateur peut être configurable et contrôlée par Sign&Go
- En fonction des besoins de l’entreprise (authentification forte, simple, push mobile avec Sign&Go Authenticator, empreinte digital ou clé FIDO2 avec Yubikey)
Sign&Go permet de gérer les authentifications sur tous les types de supports utilisables par un utilisateur :
- À l’aide de schémas (qui sont des workflows) customisables et scriptables, chaque authentification utilisateur peut être différente et soumise à de multiples conditions en fonction de si c’est une authentification poste, mobile, web, etc…
- Les conditions supportées permettent de répondre à toutes exigences en termes de sécurité et de conformité
L’outil utilise un langage propre, proche du JavaScript, qui permet de scripter l’ensemble des modules utilisables :
- Les configurations SAMLv2, OAuth, OIDC et même WSFed peuvent être entièrement scriptées pour chaque connexion
- Chaque schéma peut être entièrement scriptés
Sign&Go, bien qu’international est une solution française à l’écoute et en constante évolution : de nombreuses versions et patchs correctifs sont déployés.
Conclusion
En conclusion, Sign&Go est un outil de gestion des accès très performant, offrant une personnalisation approfondie et une sécurité accrue.
Dans votre projet, lors de l’étude de l’outil à utiliser, le choix entre Sign&Go, Okta et Ping doit être guidé par les besoins spécifiques, le budget et l'environnement du projet.
Alors que Sign&Go garantit une sécurité renforcée grâce à sa personnalisation étendue, Okta et Ping offrent une simplicité d'utilisation plus accessible. Ainsi, la sélection de l'outil le mieux adapté dépendra de l'équilibre entre les fonctionnalités, la sécurité et la facilité d'implémentation requise pour chaque cas d'utilisation.
Paul BRESNU
Consultant Cybersécurité
