Qu’est-ce que l’authentification unique dans Microsoft Entra ID ?

Cet article vous fournit des informations sur les options d’authentification unique (SSO) qui sont à votre disposition. Il fournit également une introduction à la planification d’un déploiement de l’authentification unique lors de l’utilisation de Microsoft Entra ID. L’authentification unique est une méthode d’authentification qui permet aux utilisateurs de se connecter avec un ensemble d’informations d’identification à plusieurs systèmes logiciels indépendants. Avec l’authentification unique, un utilisateur n’a pas besoin de se connecter à chaque application dont il se sert. Avec l’authentification unique, les utilisateurs peuvent accéder à toutes les applications dont ils ont besoin sans avoir à s’authentifier avec d’autres identifiants. Pour obtenir une brève introduction, consultez Authentification unique Microsoft Entra.

Il existe déjà dans Microsoft Entra ID de nombreuses applications que vous pouvez utiliser avec l’authentification unique. Vous avez plusieurs options pour l’authentification unique en fonction des besoins de l’application et de la façon dont elle est implémentée. Prenez le temps de planifier votre déploiement de l’authentification unique avant de créer des applications dans Microsoft Entra ID. La gestion des applications peut être simplifiée à l’aide du portail Mes applications.

Options d’authentification unique

Le choix d’une méthode d’authentification unique dépend de la façon dont l’application est configurée pour l’authentification. Les applications cloud peuvent utiliser des options basées sur la fédération comme OpenID Connect et SAML. L’application peut également utiliser une authentification unique basée sur mot de passe, une authentification unique basée sur un lien, ou l’authentification unique peut avoir été désactivée.

  • Fédération – Quand vous configurez l’authentification unique pour qu’elle fonctionne entre plusieurs fournisseurs d’identités, cela s’appelle une fédération. Une implémentation SSO basée sur les protocoles de fédération améliore la sécurité, la fiabilité, les expériences utilisateur et l’implémentation elle-même.

    Avec l’authentification unique fédérée, Microsoft Entra authentifie l’utilisateur auprès de l’application à l’aide de son compte Microsoft Entra. Cette méthode est prise en charge pour les applications SAML 2.0, WS-Federation ou OpenID Connect. L’authentification unique fédérée est le mode d’authentification unique le plus riche. Utilisez l’authentification unique fédérée avec Microsoft Entra ID quand une application la prend en charge, au lieu d’une authentification unique basée sur mot de passe et les services de fédération Active Directory (AD FS).

    Dans certains cas, l’option SSO n’est pas présente pour une application d’entreprise. Si l’application a été inscrite en utilisant Inscriptions d’applications dans le portail, la fonctionnalité d’authentification unique est configurée pour utiliser OpenID Connect. Dans ce cas, l’option d’authentification unique n’apparaît pas dans le volet de navigation sous Applications d’entreprise. OpenID Connect est un protocole d'authentification basé sur OAuth 2.0, qui est un protocole d’autorisation. OpenID Connect utilise OAuth 2.0 pour gérer la partie autorisation du processus. Lorsqu’un utilisateur tente de se connecter, OpenID Connect vérifie son identité en fonction de l’authentification effectuée par un serveur d’autorisation. Une fois l’utilisateur authentifié, OAuth 2.0 est utilisé pour accorder à l’application l’accès aux ressources de l’utilisateur sans exposer ses informations d’identification.

    L’authentification unique n’est pas disponible lorsqu’une application est hébergée dans un autre client. L’authentification unique n’est pas non plus disponible si votre compte n’a pas les autorisations nécessaires (Administrateur d’application cloud, Administrateur d’application ou propriétaire du principal de service). Les autorisations peuvent également être à l’origine d’un scénario dans lequel vous pouvez ouvrir l’authentification unique, mais vous pourriez ne pas être en mesure de l’enregistrer.

  • Mot de passe - Les applications locales peuvent utiliser une méthode basée sur mot de passe pour l’authentification unique. Ce choix fonctionne lorsque les applications sont configurées pour le proxy d’application.

    Avec l’authentification par mot de passe, les utilisateurs se connectent à l’application avec un nom d’utilisateur et un mot de passe la première fois qu’ils y accèdent. Après la première connexion, Microsoft Entra ID fournit le nom d’utilisateur et le mot de passe à l’application. L’authentification unique par mot de passe permet de sécuriser le stockage et la lecture des mots de passe des applications avec une extension de navigateur web ou une application mobile. Cette option utilise le processus de connexion existant fourni par l’application, permet à l’administrateur de gérer les mots de passe et n’a pas besoin que l’utilisateur connaisse le mot de passe. Pour plus d’informations, consultez : Ajouter une authentification unique basée sur un mot de passe à une application.

  • Liée - L’authentification liée peut fournir une expérience utilisateur homogène lorsque vous migrez des applications sur un certain laps de temps. Si vous migrez des applications vers Microsoft Entra ID, vous pouvez utiliser l’authentification unique basée sur des liens pour publier rapidement des liens vers toutes les applications que vous voulez migrer. Les utilisateurs peuvent trouver tous les liens dans les portails Mes applications ou Microsoft 365.

    Une fois qu’un utilisateur s’est authentifié avec une application liée, un compte doit être créé avant que l’utilisateur obtienne l’accès par authentification unique. L’approvisionnement de ce compte peut se produire automatiquement, ou manuellement par un administrateur. Vous ne pouvez pas appliquer de stratégies d’accès conditionnel ou d’authentification multifacteur à une application liée, car une application liée ne fournit pas de fonctionnalités d’authentification unique via Microsoft Entra ID. Quand vous configurez une application liée, vous ajoutez juste un lien qui apparaît pour lancer l’application. Pour plus d’informations, consultez Ajouter une authentification unique liée à une application.

  • Désactivée - Lorsque l’authentification unique est désactivée, elle n’est pas disponible pour l’application. Quand l’authentification unique est désactivée, les utilisateurs peuvent avoir besoin de s’authentifier deux fois. Tout d’abord, les utilisateurs s’authentifient auprès de Microsoft Entra ID, puis ils se connectent à l’application.

    Désactivez l’authentification unique quand :

    • Vous n’êtes pas prêt à intégrer cette application à l’authentification unique Microsoft Entra ID

    • Vous testez d’autres aspects de l’application

    • Une application locale ne demande pas aux utilisateurs de s’authentifier, mais vous le voulez. Si l’authentification unique est désactivée, l’utilisateur doit s’authentifier.

      Si vous avez configuré l’application pour l’authentification unique SAML lancée par le fournisseur de services et que vous changez le mode SSO en le définissant sur Désactivé, cela n’empêche par les utilisateurs de se connecter à l’application en dehors du portail Mes applications. Pour empêcher les utilisateurs de se connecter à partir de l’extérieur du portail Mes applications, vous devez désactiver la possibilité pour les utilisateurs de se connecter.

Planifier le déploiement de l’authentification unique

Les applications web sont hébergées par différentes entreprises et mises à disposition en tant que service. Voici quelques exemples connus d’applications web : Microsoft 365, GitHub et Salesforce. Il en existe des milliers d’autres. Les utilisateurs accèdent aux applications web à l’aide d’un navigateur web sur leur ordinateur. L’authentification unique permet aux utilisateurs de naviguer entre les différentes applications web sans avoir à se connecter plusieurs fois. Pour plus d’informations, consultez Planifier un déploiement d’authentification unique.

La façon d’implémenter l’authentification unique dépend de l’emplacement où l’application est hébergée. L’hébergement est important en raison de la façon dont le trafic réseau est routé pour accéder à l’application. Les utilisateurs n’ont pas besoin d’utiliser Internet pour accéder aux applications locales (hébergées sur un réseau local). Si l’application est hébergée dans le cloud, les utilisateurs ont besoin d’Internet pour l’utiliser. Les applications hébergées dans le cloud sont également appelées applications SaaS (Software as a Service).

Pour les applications cloud, les protocoles de fédération sont utilisés. Vous pouvez également utiliser l’authentification unique pour les applications locales. Vous pouvez utiliser le Proxy d’application afin de configurer l’accès pour votre application locale. Pour plus d’informations, consultez Accès à distance aux applications locales via le proxy d’application Microsoft Entra.

Mes applications

Si vous utilisez une application, vous ne vous souciez probablement pas beaucoup des détails de l’authentification unique. Vous voulez juste utiliser les applications qui vous rendent productif sans avoir à taper constamment votre mot de passe. Vous pouvez rechercher et gérer vos applications dans le portail Mes applications. Pour plus d’informations, consultez Se connecter et démarrer des applications à partir du portail Mes applications.

Étapes suivantes