Retour au glossaire
S
Définition

SSO Définition IT

Single Sign-On : mécanisme qui permet à un utilisateur de s'authentifier une seule fois pour accéder à plusieurs applications.

Le SSO (Single Sign-On, ou Authentification Unique) est le mécanisme qui permet à un utilisateur de se connecter une seule fois pour accéder à un ensemble d'applications, sans avoir à se réauthentifier à chaque service. C'est l'une des briques essentielles de l'IAM moderne et un levier puissant à la fois pour la sécurité, la productivité et la gouvernance du SI.

Le contexte rend le SSO incontournable : un collaborateur moyen utilise aujourd'hui plus de 35 applications par semaine (Okta Businesses at Work 2024), et selon un rapport LastPass, chaque utilisateur gère en moyenne 191 mots de passe professionnels. Sans SSO, ce volume est intenable et se traduit par des mots de passe faibles, réutilisés, partagés — autant de portes ouvertes aux attaques.

Comment fonctionne le SSO

Le SSO repose sur un fournisseur d'identité (Identity Provider, IdP) — Microsoft Entra ID, Okta, Google Workspace, Ping Identity, ForgeRock — qui authentifie l'utilisateur et fournit aux applications cibles (Service Providers, SP) une preuve d'identité signée.

Le flux typique :

  1. L'utilisateur tente d'accéder à une application.
  2. L'application redirige vers l'IdP.
  3. Si l'utilisateur n'est pas déjà authentifié, l'IdP demande ses identifiants (et le second facteur MFA).
  4. L'IdP émet un token signé que l'application accepte comme preuve d'identité.
  5. L'application accorde l'accès, sans demander de mot de passe propre.

Le mot de passe n'est connu que de l'IdP. Les applications ne le voient jamais.

Les protocoles SSO standards

  • SAML 2.0: : standard historique du SSO entreprise, XML-based, encore majoritaire dans les apps web traditionnelles.
  • OpenID Connect (OIDC): : version moderne basée sur OAuth 2.0, JSON, mieux adaptée aux apps mobiles et SPA.
  • OAuth 2.0: : strictement parlant un protocole d'autorisation, mais souvent utilisé en conjonction avec OIDC pour l'authentification.
  • Kerberos: : standard historique des environnements Windows internes (Active Directory), dominant en LAN.
  • CAS: : protocole open source répandu dans l'enseignement supérieur français.

Les bénéfices du SSO

  • Sécurité accrue: : moins de mots de passe = moins de risque de fuite. Couplé à la MFA, le SSO réduit drastiquement les attaques par credential stuffing.
  • Productivité: : selon Okta, le SSO économise 5 à 15 minutes par utilisateur et par jour — soit plusieurs jours par an.
  • Gouvernance: : un seul point de révocation. Quand un collaborateur quitte l'entreprise, désactiver son compte IdP coupe l'accès à toutes les applications connectées.
  • Audit et conformité: : logs centralisés des authentifications, exigés par ISO 27001, SOC 2, RGPD, NIS2.
  • Lutte contre le [Shadow IT](/fr/glossary/shadow-it): : les applications non rattachées au SSO sont identifiables et représentent un risque mesurable.

SSO ≠ MFA ≠ password manager

Trois mécanismes complémentaires souvent confondus :

  • SSO: : authentification unique pour plusieurs applications.
  • MFA: : exigence d'un second facteur (TOTP, FIDO2, push) lors de l'authentification.
  • Password manager: : stocke et remplit automatiquement des mots de passe — pratique mais ne supprime pas les mots de passe.

Le SSO sans MFA est risqué (un seul mot de passe compromis donne accès à tout). MFA sans SSO laisse le problème de la multiplication des comptes. La combinaison SSO + MFA est aujourd'hui le standard de sécurité minimum en entreprise.

SSO et conformité réglementaire

Les régulations majeures imposent ou recommandent fortement le SSO :

  • NIS2: : authentification forte, traçabilité des accès, principe de moindre privilège.
  • DORA: : gestion des identités et des accès, surveillance continue.
  • RGPD: : pseudonymisation et minimisation, traçabilité des accès aux données personnelles.
  • ISO 27001: (A.9 contrôle d'accès) : centralisation et revue des accès.
  • SOC 2: : type II exige une preuve de revue d'accès régulière, simplifiée par le SSO.

Limites et points de vigilance

  • Single Point of Failure: : si l'IdP tombe, tout le SI devient inaccessible. D'où l'importance de la haute disponibilité de l'IdP et de procédures de secours.
  • Couverture partielle: : toutes les applications ne supportent pas SAML/OIDC. Les apps legacy ou très spécifiques peuvent rester en authentification locale — autant de points aveugles.
  • Risque de propagation: : la compromission d'un compte IdP donne accès à toutes les apps connectées. La MFA est donc non négociable, idéalement avec des facteurs résistants au phishing (FIDO2).
  • Gestion fine des droits: : le SSO authentifie, il n'autorise pas. Les droits par rôle (RBAC) restent gérés par chaque application.

SSO et cartographie applicative

Une DSI ne peut piloter sa stratégie SSO que si elle sait quelles applications sont utilisées dans le SI. Kabeen détecte automatiquement toutes les applications consommées par les collaborateurs — y compris hors SSO — et permet de prioriser le rattachement à l'IdP central pour fermer les angles morts.

Questions fréquentes

Qu'est-ce que le SSO ?

+

Le SSO (Single Sign-On) est un mécanisme d'authentification unique qui permet à un utilisateur de se connecter une seule fois pour accéder à un ensemble d'applications, sans avoir à se réauthentifier à chaque service. Il repose sur un fournisseur d'identité central (Microsoft Entra ID, Okta, Google Workspace) qui authentifie l'utilisateur et fournit aux applications une preuve d'identité signée.

Quelle différence entre SSO et MFA ?

+

Le SSO permet d'utiliser un seul login pour plusieurs applications. La MFA (Multi-Factor Authentication) exige un second facteur d'authentification (code TOTP, clé FIDO2, push mobile) en plus du mot de passe. Les deux sont complémentaires : SSO sans MFA est risqué (un seul mot de passe compromis ouvre tout) ; MFA sans SSO laisse le problème de la multiplication des comptes. La combinaison SSO + MFA est le standard de sécurité actuel.

Quels protocoles SSO existent ?

+

Les standards principaux sont SAML 2.0 (historique, XML, dominant dans les apps web entreprise), OpenID Connect / OAuth 2.0 (versions modernes, JSON, adaptées aux apps mobiles et SPA), Kerberos (Active Directory, dominant en réseau interne Windows) et CAS (open source, répandu dans l'enseignement supérieur français). La plupart des éditeurs SaaS modernes supportent SAML 2.0 et OIDC.

Quels sont les risques du SSO ?

+

Trois risques principaux : (1) le Single Point of Failure — si l'IdP tombe, toutes les apps deviennent inaccessibles, d'où l'importance de la haute disponibilité ; (2) la propagation de compromission — un compte IdP compromis ouvre toutes les apps connectées, d'où la MFA obligatoire ; (3) la couverture partielle — les applications non rattachées au SSO restent des angles morts. Une bonne gouvernance SSO impose une MFA résistante au phishing (FIDO2) et un suivi des apps non couvertes.

Tous les termes

ABCDEFGHIJKLMNOPQRSTUVWXYZ
5

Méthode des 5R

Une stratégie utilisée lors de la rationalisation des applications pour déterminer la meilleure approche de gestion.

8

Méthode des 8R

Une version étendue de la méthode 5R utilisée dans la gestion du portefeuille d'applications et les stratégies de migration.

A

Application

Un programme informatique ou un ensemble de programmes conçus pour rationaliser les opérations commerciales.

A

Architecture

Réfère à la structure et au comportement des systèmes informatiques, des processus et de l'infrastructure au sein d'une organisation.

Retour au glossaire

Besoin d'aide pour cartographier votre SI ?

Kabeen vous aide à inventorier, analyser et optimiser votre portefeuille d'applications.

Essayer gratuitement