Leçons de SSO

Leçons de SSO

SSO (pour Single Sign On) est une notion importante pour toutes les applications informatiques sécurisées, c'est-à-dire pour les applications qui exigent que chaque utilisateur s'identifie avant tout accès.


SSO (pour Single Sign On) est une notion importante pour toutes les applications informatiques sécurisées, c'est-à-dire pour les applications qui exigent que chaque utilisateur s'identifie avant tout accès.

Par exemple : le professeur, après s'être identifié sur l'ENT Lilie, accède au service de saisie de notes dans sa discipline et pour ses classes, dans le lycée où il enseigne. Lui seul aura accès à ce service et à ces données.

Un


Leçon N°1 : Définitions


Lilie donne accès à deux types de services :

  • les services que l'on qualifie de « natifs », services internes de la solution, accessibles directement par les menus déroulants (blog, forum, messagerie, agenda, cahier de textes, etc.) ;
  • les services que l'on appelle des services tiers, services extérieurs à Lilie et qui réclament eux aussi que leurs utilisateurs s'identifient.


Les services tiers ou solutions tierces sont par exemple celles que proposent des éditeurs de solutions de vie scolaire (absences, notes) que les établissements ont l'habitude d'utiliser : Pronote d'Index Education et viescolaire.net  d'OMT par exemple.

Or, les codes d'accès à Lilie et aux services tiers sont toujours différents. Chaque accès à un service tiers à partir de Lilie oblige donc, en principe, l'utilisateur à s'authentifier avec les codes d'accès à ce service. Le SSO est la fonction qui permet d'éviter cette deuxième saisie fastidieuse.

Elle consiste à permettre aux utilisateurs d'accéder, de manière sécurisée, à l'application tierce à partir de Lilie sans avoir à s'authentifier à nouveau. Lilie "dit" (c'est-à-dire envoie un message numérique) au service tiers qu'un utilisateur de Lilie souhaite accéder au service. Celui-ci reconnait Lilie et autorise l'utilisateur à accéder ce service à la condition bien sûr qu'un compte y ait été préalablement créé pour lui.

Deux


Leçon N°2 : Sécurité



Il est intéressant de s'attarder quelques instants sur le protocole  mis en place entre les deux services, Lilie et Pronote par exemple, qui permet d'éviter les ressaisies multiples d'identifiants.

L'échange doit être sécurisé. Les informations circulant d'une application à l'autre, entre les deux systèmes informatiques, doivent se réaliser à l'abri des regards humains. De telle sorte qu'il soit impossible à quiconque d'intercepter le flux d'information entre les deux systèmes, Lilie d'une part, hébergée sur les serveurs de la société Prosodie, et Pronote d'autre part, hébergé sur un serveur à l'intérieur de chaque lycée qui utilise cette solution.
 
Les informaticiens responsables de chacun des deux services doivent s'entendre pour mettre en place la procédure d'échanges, le SSO, qui respectera cette exigence de sécurité et permettra à leurs systèmes d'échanger les données sans qu'eux, les informaticiens, puissent y avoir accès. Cette condition est exigée par la CNIL (commission nationale informatique et libertés) pour tout service tiers auquel l'ENT donne accès.

Trois


Leçon N°3 : Procédures



Dernière leçon, pour être tout-à-fait complet sur le sujet.

Il existe deux procédures de mise en place du SSO. L'une, celle mise en place avec Index Education par exemple, permet l'accès direct de l'utilisateur dont les informations sont déjà connues par Pronote. L'autre, celle mise en place avec OMT exige de l'utilisateur qu'il saisisse son identifiant et son mot de passe une fois (mais une seule fois !) lors de sa première connexion.

A cette différence près, les systèmes d'accès à des services tiers sont identiques et bénéficient des mêmes niveaux de sécurité.

Si nous nous sommes attardés sur le cas de Pronote c'est que la mise en place du SSO a rencontré, en début d'année scolaire, quelques difficultés qui sont aujourd'hui totalement résolues.

Remerciements à Claire et à Julie, reines du SSO, chez Logica.