L'engagement de Keeper Security à protéger les données des utilisateurs est omniprésent dans tout ce que nous faisons. Keeper® détient les plus anciennes certifications SOC 2 et
L’authentification unique (SSO) aide les entreprises à améliorer leur sécurité tout en rationalisant l’expérience de connexion des employés. La mise en œuvre d’une plateforme SSO au sein de votre organisation est presque toujours une bonne idée. Cependant, la SSO compte des lacunes importantes en matière de sécurité et de fonctionnalité que les entreprises doivent connaitre et combler.
La SSO ne couvre pas tout. De nombreux sites Web, applications et systèmes ne sont pas inclus dans les déploiements SSO, et chacun d’eux présente un risque en matière de cybersécurité. Le SSO représente en outre un point d’échec unique. Lorsqu’un utilisateur est bloqué et ne peut pas se connecter par SSO, il lui est impossible d’accéder à la majorité des sites Web ou des systèmes nécessaires pour faire son travail.
En intégrant un coffre-fort de mots de passe sécurisé avec la SSO, les entreprises peuvent éliminer ces lacunes et améliorer la sécurité. C’est pourquoi Keeper Security privilégie les intégrations avec tous les principaux fournisseurs de SSO.
En 2016, Keeper a reçu deux brevets d’utilité publique américains 11,363,009 et 10,356,079) pour son approche novatrice de l’intégration SOO Zero-Knowledge. Les brevets de Keeper couvrent à la fois les protocoles d’identité SAML et OIDC. Cependant, la SAML offre plusieurs avantages du point de vue de la sécurité et de la facilité d’utilisation. C’est pourquoi Keeper SSO Connect utilise la SAML pour son intégration SSO Zero-Knowledge.
Quelle est la différence entre OIDC et SAML ?
SAML et OIDC sont tous deux des protocoles d’identité qui authentifient les utilisateurs, mais ils présentent des différences importantes dans leurs niveaux de sécurité.
- La SSO basée sur la SAML est la norme du secteur pour les applications d’entreprise, car elle est beaucoup plus mature et a des antécédents de sécurité éprouvés.
- L’OIDC est généralement réservé aux solutions qui sont moins strictes en matière de sécurité, ou s’il est nécessaire de précipiter une intégration.
En quoi la SAML fournit une sécurité supérieure
La solution entièrement gérée de Keeper permet aux entreprises de tirer parti des fonctionnalités de sécurité et d’ergonomie supérieures de la SAML.
Fonctionnalités d’entreprise
La SAML est une norme robuste qui prend en charge une grande variété de fonctionnalités d’entreprise qui ne sont pas disponibles, ou qui ne sont pas aussi bien développées, sur OIDC. Par exemple, la SAML prend en charge la fonctionnalité de déconnexion unique (SLO) qui peut mettre fin à des sessions sur plusieurs applications. L’OIDC ne dispose pas du contrôle de session du gestionnaire de mots de passe et est généralement plus adapté aux applications grand public qui nécessitent des logins via les réseaux sociaux.
Aucun secret côté client
L’OIDC n’exige pas de secret côté client, mais le flux PKCE introduit une nouvelle notion de « vérificateur de code » et de « défi de code ». Ils sont similaires aux secrets, mais sont générés dynamiquement pour chaque demande d’authentification.
Dans la SAML, il n’y a pas d’équivalent au secret du client, ce qui évite ce flux de travail. À la place, la confiance entre les parties est établie en échangeant des certificats, avec des clés privées sécurisées sur chaque serveur, ce qui crée une transaction plus sécurisée.
Maîtrise supérieure des sessions des utilisateurs
La SSO SAML fonctionne en transmettant des informations par le biais du navigateur de l’utilisateur et permet à l’application de gérer sa propre session, ce qui permet un contrôle précis des sessions des utilisateurs. L’OIDC, en revanche, peut entraîner des situations dans lesquelles l’utilisateur a la fausse impression qu’il s’est déconnecté du gestionnaire de mots de passe, alors qu’en réalité le fournisseur d’identité a toujours une session valide active. Un coffre-fort pourrait ainsi être exposé à une attaque de la machine locale en un seul clic.
La SSO avec Keeper par rapport aux concurrents
Keeper SSO Connect est un service SAML 2.0 qui s’intègre à votre plateforme SSO pour fournir une gestion des mots de passe et un chiffrement Zero-Knowledge. Vous avez accès à une expérience entièrement sans mot de passe, incluse dans Keeper Enterprise, qui fonctionne avec tous les fournisseurs d’identité. Avec Keeper, SSO Connect Cloud offre la meilleure expérience du marché, sans accrocs.
1Password a annoncé une mise à jour de leur intégration SSO. L’intégration de 1Password est basée sur OIDC et, en tant que telle, possède des lacunes dans plusieurs domaines clés.
Bitwarden prend en charge la SAML 2.0, mais pour tous les déploiements cloud, les utilisateurs doivent se connecter et se souvenir d’un mot de passe principal à chaque fois. Pour les déploiements sur site, l’élimination de l’étape mot de passe principal nécessite l’utilisation d’un service de type « Key connector » sur site, qui maintient et héberge toutes les clés de chiffrement des utilisateurs finaux. Ce service Key Connector devient donc une infrastructure critique qui nécessite du personnel formé et doit être entretenu par le client.
Sécurité
Par défaut, les utilisateurs voient leur session sur Keeper se fermer lorsqu’ils ferment leur navigateur, redémarrent leur ordinateur ou choisissent de se connecter à partir de la liste déroulante de leur extension, ce qui leur oblige à se connecter à nouveau avec leur fournisseur SSO, l’authentification multifacteur (MFA) ou le mot de passe principal pour accéder à nouveau au coffre-fort.
Avec les gestionnaires de mots de passe basés sur OIDC, lorsque le coffre-fort se verrouille, vous êtes potentiellement toujours connecté au fournisseur d’identité. Un seul clic est donc nécessaire pour accéder à nouveau au coffre-fort, sans aucune vérification supplémentaire, ce qui signifie que vous n’êtes pas vraiment déconnecté.
Récupération
Se procurer un nouvel appareil devrait être passionnant. Avec Keeper, vous profitez de méthodes transparentes et automatisées qui utilisent des notifications push pour rendre votre expérience d’installation fluide et sans accrocs, en vous permettant d’accéder au coffre-fort de votre nouvel appareil immédiatement.
D’autres gestionnaires de mots de passe vous forcent à entretenir votre ancien appareil, ou à demander à un administrateur d’initier la récupération pour vous permettre de vous connecter et d’accéder à vos registres, ce qui évite le long processus qui consiste à essayer des logins et à échanger des e-mails avec l’administrateur.
Authentification multifacteur
Si l’option est activée, Keeper exige l’approbation de l’appareil et la MFA avant de saisir votre mot de passe principal pour accéder à votre coffre-fort, ce qui augmente la sécurité et garantit que vos identifiants ne sont accessibles que par vous. Lors du déploiement avec SSO, Keeper prend en outre en charge l’invite MFA avant le déchiffrement du coffre-fort local. Keeper prend en charge les clés de sécurité FIDO2, ainsi que les méthodes DUO, TOTP et SMS. Keeper est la seule solution qui prend en charge la vérification SSO avec des politiques d’accès conditionnelles, en plus de la MFA locale.
Les concurrents qui vous permettent de saisir vos identifiants avant la MFA les exposent à un risque d’attaque par force brute. Certains concurrents ont mis en place un CAPTCHA, mais cela peut être facilement contourné via des fermes à Captcha.
Fonctionnalité d’urgence et méthodes d’authentification alternatives
Si votre fournisseur d’identité SSO est victime d’une panne, Keeper est toujours là pour vous. Lorsque l’authentification biométrique est utilisée sur un appareil (comme Touch ID, Face ID ou Windows Hello), l’utilisateur peut s’authentifier en toute sécurité et rapidement pour accéder à son coffre-fort sans avoir à passer par le fournisseur d’identité à chaque demande. En plus de l’authentification biométrique et SSO SAML standard, Keeper prend même en charge une méthode de mot de passe principal secondaire, qui peut être activée pour les utilisateurs lorsque l’administrateur l’autorise. Tous ces flux de travail et méthodes d’authentification sont pris en charge par les politiques d’application basées sur les rôles de Keeper.
Prise en charge SCIM
Keeper est une plateforme cloud-based entièrement gérée, qui vous offre un moyen rapide et facile de provisionner les utilisateurs. Le SCIM est un protocole standard pour échanger les identités des utilisateurs entre des systèmes informatiques. Grâce à la prise en charge complète de SCIM 2.0 par Keeper, toute source d’identité peut être facilement intégrée au flux de travail de Keeper. Nul besoin d’infrastructure sur site compliquée, car toute la communication a lieu entre le fournisseur d’identité et le cloud Keeper.
1Password, au contraire, exige que les clients déploient un serveur au sein de l’infrastructure de l’entreprise afin de provisionner les utilisateurs en SSO.
Propriété intellectuelle
Keeper a élaboré le manuel du chiffrement Zero-Knowledge avec les fournisseurs de cloud SSO, et en 2016, deux brevets lui ont été accordés pour ce chiffrement. L’intégration SSO Zero-Knowledge de Keeper est en production depuis 8 ans, soit bien plus longtemps que n’importe quel concurrent.
1Password ne dispose d’aucun brevet pour son intégration SSO. L’intégration de 1Password a été lancée le 16 mars 2023 et les utilisateurs ont signalé qu’elle était beaucoup plus difficile à implémenter.
Le choix est clair
Tout ce que développe Keeper repose sur une idée centrale : comment rendre ça aussi sécurisé que possible pour les utilisateurs tout en garantissant une expérience simple et positive ?
La SAML fournit la base de l’intégration de la plateforme de Keeper avec la SSO et représente la connexion la plus sécurisée qui existe. La mise en œuvre par Keeper de l’intégration SSO avec le coffre-fort est la solution la plus simple et la plus sécurisée disponible sur le marché. Keeper va continuer à innover et à s’assurer de rester la meilleure plateforme pour protéger vos données les plus précieuses.