mardi 9 février 2010

Comment choisir son Single Sign On (SSO)

On distingue généralement deux types de SSO: les SSO coopératifs et les SSO préemptif
Les SSO coopératifs sont des serveurs d'authentification qui délivrent des tickets directement à des utilisateurs ou indirectement à des proxy (mandataires) . Ces tickets sont à présenter aux applications qui les valideront auprès du serveur d'authentification.
Après validation l'utilisateur est connecté directement à l'application.

Les SSO préemptifs sont des pare-feux applicatifs , qui se placent devant les applications à protéger. Les flux utilisateurs doivent être dirigés vers ces équipements par le biais d'une résolution DNS ou par routage. Tous les flux (pages HTML, CSS, images) passent par ce dispositif. Les flux utilisateurs sont arrêtés , analysés puis le SSO activera ses fonctionnalités de Reverse proxy pour solliciter les applications à la place des utilisateurs.

Avantages serveur SSO coopératifs :
* Simples à mettre en ouvre
* Point de contrainte ou de contention faible
* Fonctionnent en natif sur plusieurs domaines
* Evolution vers la fédération d'identité
* Peu intrusifs vis à vis des applications
* Standardisés

Inconvénients
* Pas de gestion centralisé du time-out
* Pas de filtrage des flux applicatifs
* Pas de propagation d'habilitation

Avantages serveur SSO préemptifs :
* Centralisation pour filtrage des flux
* gestion centrale du time-out
* Propagation des habilitations
* Sécurisation des flux
* Mandataire

Inconvénients
* Complexe à mettre en place
* Fragilise l'architecture: SPOF
* Impact sur les performances
* Pas de gestion multi-domaine simple
* Impact sur la construction d'une application
* Non standard


Alors quel SSO choisir ?

La réponse est fonction du type d'architecture applicatives: SOA ou ROA (orientée ressource : REST) , de besoins de connexion depuis l'extérieur.
Il reste une solution : le lemonldap-CAS qui fait à la fois serveur CAS et Rupture de Flux permettant ainsi de mixer les applications.





Synthèse : clic pour élargir

2 commentaires:

Anonyme a dit…

Salut GermanLinux!

Je suis le webmaster d'un blog sur l'identity management. Comme tu parles du SSO, tu peux trouver une application SSO de Tools4ever qui s'appelle E-SSO-M.
tu peux avoir plus d'informations à cette URL:
http://www.identity-management.fr/annonce.html

germanlinux a dit…

je vous ai repondu sur l'adresse indiqué sur le site p.baas@tools4ever.com