L’application KSL Server supporte désormais les protocoles OpenID Connect, en plus des mécanismes LDAP/Active Directory et Microsoft SSO/IWA.
Qu’apporte cette nouvelle fonction à la solution KSL Suite ?
De nos jours, de plus en plus d’applications sont interconnectées : par exemple, un utilisateur authentifié sur l’annuaire de l’entreprise, travaille dans un logiciel CRM en mode SaaS et doit créer un devis en utilisant sans le savoir un serveur KSL installé dans son entreprise ; ce serveur KSL peut s’appuyer sur les prix d’un catalogue géré par un autre logiciel interne ERP.
Cette interconnexion entre applications pose alors des problématiques de sécurité liées à l’authentification de l’utilisateur et aux autorisations qui lui sont données sur les différents services web exposés par chaque application : comment éviter que les login et mode de passe soient saisis et transmis à toutes les applications et à chaque fois ? Comment éviter le transfert d’informations confidentielles à l’extérieur de l’entreprise ? C’est dans ce contexte qu’OAuth et OpenID Connect prennent toute leur importance.
OAuth et OpenID Connect, une solution pour sécuriser les accès dans un environnement multi-applications :
OAuth / OpenID Connect est un logiciel serveur qui apporte une solution sécurisée d’authentification, d’identification des utilisateurs d’un système d’informations et de gestion de leurs droits d’accès. Ce logiciel s’appuie pour cela sur un annuaire centralisé.
Cette solution présente l’avantage d’être indépendante des applications informatiques de l’entreprise et de leur apporter un service centralisée pour gérer les autorisations d’accès des utilisateurs.
Lors d’un accès d’un utilisateur à une application, le serveur OpenID Connect gère son authentification (vérification du login et mot de passe) mais fournit en parallèle à l’application, qui est donc cliente du serveur OpenID Connect, des informations peu confidentielles sur l’utilisateur, comme ses propriétés et ses groupes d’appartenance.
L’application peut alors autoriser ou non l’utilisateur à accéder à ses services, mais aussi tracer la demande de l’utilisateur ; cet échange entre les applications et le serveur OpenID Connect est sécurisé par des jetons d’accès chiffrés.
Le serveur OpenID Connect facilite ainsi la mise en œuvre d’une authentification unique (SSO – Single Sign On) dans un système d’information, sans qu’aucun mot de passe ne soit connu des applications.
OpenID Connect est en particulier adopté par les grands acteurs du web tels que Google, Facebook, Salesforce et Microsoft, ainsi que par de nombreuses organisations souhaitant mettre en œuvre une fédération d’identités centralisée et répondre à des problématiques de SSO.
KSL Suite 7.1, le support de LDAP, Active Directory et désormais de OIDC :
Les versions 6.4 et 7.0 de KSL Suite permettaient déjà à KSL Server de s’appuyer directement sur un annuaire LDAP et LDAP/Active Directory ; elles permettaient également la mise en place pour KSL Suite et KSL Interactive du mécanisme SSO spécifique Microsoft Integrated Windows Authentication (IWA).
L’application KSL Suite 7.1 s’est enrichie d’un nouveau client qui lui permet de s’inscrire dans une architecture OAuth / OpenID Connect.
Dans cette architecture, l’authentification de l’utilisateur n’est pas réalisée par KSL mais par un système tiers.
Un utilisateur non authentifié qui essaie d’accéder au portail KSL Office ou à un document interactif est redirigé vers le serveur d’authentification.
Lorsqu’il s’agit d’un utilisateur authentifié, le serveur OpenID Connect fournit à l’application KSL sollicitée l’identifiant de l’utilisateur, les groupes auxquels il appartient et un jeton d’authentification ; grâce à ces informations, le serveur KSL connait l’identité de l’utilisateur et lui donne les autorisations d’accès associés à ses groupes ; l’utilisateur accède alors au portail KSL Office ou au document interactif demandé. Dans ce processus, aucune information confidentielle n’a été communiquée à la solution KSL.