Security Assertion Markup Language (Langage de balisage d’assertion de sécurité, abrégé en SAML) est une norme permettant aux utilisateurs de se connecter à différentes applications sur la base de leur session en cours. Le protocole SAML active l’authentification unique (en anglais « single sign-on », abrégé en SSO), ce qui permet aux utilisateurs de se connecter à plusieurs applications à l’aide d’un seul jeu d’identifiants.
Cette méthode présente des avantages significatifs par rapport à la connexion à l’aide d’un nom d’utilisateur et d’un mot de passe. Grâce à ce protocole, les utilisateurs n’ont pas besoin de saisir leurs identifiants, de se souvenir de leur mot de passe et de le renouveler et n’ont pas non plus à se soucier que leurs mots de passe puissent être faibles. La plupart des organisations connaissent déjà l’identité des utilisateurs, car ils sont connectés à leur domaine Active Directory ou à l’intranet. L’utilisation de ces informations pour connecter les utilisateurs à d’autres applications individuelles ou en ligne est donc naturelle, et la méthode la plus élégante pour gérer cette connexion est de faire appel à un protocole SAML.
Pour en savoir plus sur le protocole SAML, lisez les sections ci-dessous.
Comment fonctionne le protocole SAML/SSO ?
L’authentification unique SAML (SSO) fonctionne en transférant l’identité de l’utilisateur du fournisseur d’identité au fournisseur de service. Ce processus est réalisé via un échange de documents XML signés numériquement. Prenons le scénario suivant à titre d’exemple : un utilisateur est connecté à un système, qui agit comme fournisseur d’identité. L’utilisateur souhaite se connecter à une application distante telle que la Learner Experience de KnowBe4 ou tout autre fournisseur de service.
Dans ce scénario, les étapes suivantes se produisent :
- L’utilisateur clique sur le lien vers l’application via l’intranet de son entreprise, un signet ou toute autre option similaire. L’application se charge alors.
- L’application identifie l’origine de l’utilisateur et le redirige vers le fournisseur d’identité pour demander que son identité soit authentifiée. Pour identifier l’origine de l’utilisateur, l’application utilise le sous-domaine de l’application, l’adresse IP de l’utilisateur ou une autre information similaire. Il s’agit de la demande d’authentification.
- Soit l’utilisateur a déjà ouvert une session auprès du fournisseur d’identité, soit il en établit une en se connectant au fournisseur d’identité.
- Le fournisseur d’identité génère la réponse d’authentification sous la forme d’un document XML contenant le nom de l’utilisateur ou son adresse e-mail. Le fournisseur d’identité signe alors le document à l’aide d’un certificat X.509 et envoie cette information au fournisseur de service.
- Le fournisseur de service récupère la réponse d’authentification et la valide à l’aide de l’empreinte du certificat. Le fournisseur de service connaît déjà l’identité du fournisseur d’identité et dispose d’une empreinte de certificat. L’identité de l’utilisateur est établie.
Consultez la capture d’écran ci-dessous pour bénéficier d’un support visuel schématisant la procédure :
Pour en savoir plus sur les notions de base du fonctionnement du protocole SAML et SSO, consultez l’article d’auth0 How SAML Authentication Works (Comment fonctionne l’authentification SAML, en anglais seulement).
Comment fonctionne le protocole SAML pour la Learner Experience (LX)
KnowBe4 prend en charge le protocole SAML 2.0. Le protocole SAML pour la Learner Experience (LX) de KnowBe4 fonctionne de la même manière que pour n’importe quel autre fournisseur de service. En général, l’authentification des utilisateurs d’une organisation est gérée par le système d’authentification choisi, tel que Active Directory (AD) ou Lightweight Directory Access Protocol (LDAP). Ces systèmes d’authentification sont ce qu’on appelle des fournisseurs d’identité.
Le fournisseur de service, dans notre exemple, la LX, autorise le fournisseur d’identité à authentifier les utilisateurs, puis à les connecter à leur LX. En d’autres termes, les utilisateurs peuvent se connecter au travail et avoir automatiquement accès aux applications de leur organisation, telles que leur messagerie ou leur système de gestion des relations client (CRM) sans devoir se connecter séparément à ces services. Outre le confort que cela procure aux utilisateurs, l’authentification de tous les utilisateurs est gérée en interne par un système sur lequel vous avez un contrôle total.
Une fois que vous avez activé le protocole SAML comme type d’authentification unique (SSO) pour la LX, les utilisateurs qui tentent de se connecter à la LX sont redirigés vers votre serveur SAML pour authentification. L’identité de vos utilisateurs peut être stockée sur le serveur SAML ou validée par un répertoire d’identités, tel que Microsoft Active Directory ou Lightweight Directory Access Protocol (LDAP). Une fois authentifiés, les utilisateurs sont redirigés vers leur LX et sont automatiquement connectés.
Configuration de l’authentification unique/SAML pour votre organisation
KnowBe4 prend en charge le protocole SAML 2.0. Si vous souhaitez réaliser l’intégration SAML sur votre console KSAT, consultez notre article Activation de l’authentification unique SAML sur votre fournisseur SSO.
Si vous ne trouvez pas votre fournisseur SAML dans la liste et avez besoin d’aide, veuillez contacter notre équipe d’assistance pour demander de l’aide.