Activer l'authentification unique pour les applications cloud

Problématique métier

Les entreprises utilisent de plus en plus d'applications cloud. Étendre l'authentification unique (SSO, Single Sign-On) aux applications cloud permet aux employés de se connecter à des applications SaaS (Software as a Service) ou à des applications internes hébergées dans le cloud à l'aide de leurs identifiants professionnels.

La SSO fournit un point d'authentification unique via un fournisseur d'identité (IdP, Identity Provider). Les utilisateurs peuvent accéder à des applications cloud tierces, mais leurs identifiants ne sont pas stockés chez le tiers. Bien souvent, il n'existe pas d'identifiants pour les applications tierces.

Votre entreprise souhaite renforcer la sécurité au moyen de la SSO tout en faisant bénéficier vos utilisateurs de la fonctionnalité offerte par ce mode d'authentification. Un IdP doit authentifier l'accès à toutes les applications cloud de votre entreprise.

Solutions

Pour fournir aux utilisateurs un accès SSO à certaines applications cloud, Cloud Identity, en tant qu'IdP, est compatible avec les protocoles OpenID Connect (OIDC) et SAML 2.0 (Security Assertion Markup Language).

Cloud Identity dispose d'un vaste catalogue d'applications SAML. Les utilisateurs de G Suite peuvent obtenir des applications OIDC dans G Suite Marketplace. Alors que la plupart des applications cloud ne sont compatibles qu'avec l'un ou l'autre de ces protocoles, quelques-unes d'entre elles acceptent les deux.

Applications du catalogue SAML

Avantages

  • Le protocole SAML est bien implanté dans l'entreprise.
  • Seuls les administrateurs peuvent installer les applications. Ils contrôlent donc quelles sont les applications que les employés peuvent utiliser.
  • Le fournisseur SaaS tiers et Google travaillent ensemble sur le connecteur, et Google valide les applications du catalogue.
  • L'installation est rapide et facile.

Inconvénients

  • Configurer une application SAML est un peu plus complexe que de configurer une application OIDC.
  • Toutes les applications d'entreprise ne sont pas compatibles avec SAML, et certaines d'entre elles facturent des frais plus élevés pour les fonctionnalités SAML.

Applications OIDC dans G Suite Marketplace

Avantages

  • Par comparaison avec SAML, OIDC est un protocole plus léger et plus moderne.
  • Les administrateurs et les utilisateurs peuvent installer les applications, mais les utilisateurs ne peuvent installer que les applications figurant sur la liste blanche de l'administrateur.
  • Les applications G Suite Marketplace étendent les fonctionnalités de G Suite. Comme les applications utilisent l'API Core Google Services, elles sont bien intégrées aux produits Google. Les applications font l'objet d'un examen qui permet de vérifier qu'elles sont conformes aux exigences de G Suite Marketplace.

Inconvénient

  • L'utilisation d'OIDC n'est pas généralisée parmi les applications d'entreprise.

Recommandations

Parcourez les catalogues SAML et G Suite Marketplace. Certaines applications figurent dans ces deux catalogues. Dans ce cas, si vous êtes un client de G Suite et que la stratégie informatique de votre entreprise accepte OIDC, nous vous recommandons d'utiliser l'application G Suite Marketplace.

Si l'application souhaitée ne figure dans aucun catalogue et qu'elle est compatible avec SAML, installez-la en tant qu'application SAML personnalisée. Comme les applications SAML personnalisées sont configurées pour l'organisation qui les installe, sachez qu'elles ne sont pas disponibles dans le catalogue SAML général.

Installez les applications que les différents services de votre entreprise doivent utiliser, puis n'attribuez chaque application qu'aux services qui en ont besoin.

Fournisseurs d'identité tiers

Si vous disposez d'un IdP tiers, vous pouvez toujours configurer la SSO pour des applications tierces dans le catalogue Cloud Identity. L'authentification des utilisateurs se produit dans l'IdP tiers, et Cloud Identity gère les applications cloud.

Si vous voulez mettre en œuvre la SSO avec Cloud Identity, vos utilisateurs ont besoin de comptes Cloud Identity. Ils se connectent via votre IdP tiers ou à l'aide d'un mot de passe dans leurs comptes Cloud Identity.

Exemple

Outre les applications métier, les employés de l'entreprise A utilisent au quotidien plusieurs types d'applications cloud :

  • Suite de collaboration
  • Messagerie et communication
  • Conférence
  • Gestion de la relation client (CRM)
  • Ressources humaines (RH)
  • Service client

L'entreprise A utilisait un IdP sur site qu'elle hébergeait elle-même. Pour renforcer la sécurité, réduire les coûts d'assistance et augmenter l'évolutivité, elle souhaite adopter Cloud Identity comme IdP principal. Les employés veulent pouvoir utiliser un seul ensemble d'identifiants d'authentification pour accéder à toutes leurs applications cloud. Ils prévoient d'authentifier toutes les applications cloud avec leur identité Google à l'aide de SAML et d'OIDC.

Le service informatique configure les applications cloud de l'entreprise pour la SSO :

  • Dressez la liste des applications cloud utilisées par les employés.
  • Recherchez ces applications dans le catalogue G Suite Marketplace ou SAML.
  • Configurez la SSO pour ces applications. Pour ce faire, activez-la application par application.
  • Attribuez les applications appropriées à des organisations spécifiques, par exemple :
    • Applications de messagerie, de RH et de collaboration à l'organisation de premier niveau (pour que tout le monde en bénéficie)
    • Application de CRM à l'organisation commerciale
    • Application de support client au service Support

La mise en œuvre des clés de sécurité varie selon les organisations.

Les employés se connectent à Cloud Identity. Grâce à la SSO, ils peuvent accéder aux applications cloud dont ils ont besoin à l'aide de leurs identifiants Cloud Identity.

Connectez-vous aux applications cloud via la SSO.