Avant de commencer

Produit concerné : SNS 3 et versions supérieures

Dernière mise à jour : juin 2018

Un utilisateur doit gérer de nombreux mots de passe : un mot de passe pour la connexion au poste de travail, un mot de passe pour la messagerie et de multiples mots de passe applicatifs. Quand ce nombre atteint une dizaine ou une quinzaine pour certains utilisateurs ou administrateurs, la gestion de ces mots de passe devient alors problématique. En effet, cela encourage un comportement négligent, qui se manifeste par exemple sous forme de mots de passe simples, mots de passe identiques sur tous les systèmes, ou des mots de passe notés sur des post-it ou dans un cahier.

L’objectif de cette protection des applications par le biais d’un mot de passe est d’assurer la sécurité des données qu'elles contiennent. En revanche, avoir trop de mots de passe à gérer multiplie les risques que ceux-ci tombent aux mains de personnes mal intentionnées, engendrant de lourdes conséquences.

Ce dilemme a donné lieu à la création du programme à authentification unique, ou SSO pour « Single Sign-On » en anglais. Il permet aux utilisateurs de s’authentifier une seule fois pour accéder à toutes leurs ressources, sans devoir saisir systématiquement les mots de passe propres à chaque application.

SPNEGO (Simple and Protected GSS-API Negotiation Mechanism, mécanisme de négociation de GSS-API simple et protégé) est un protocole défini par l’IETF, rendant possible la négociation entre différents mécanismes GSS-API (Generic Security Service Application Program Interface) afin d’établir un contexte de sécurité commun pour un client et un serveur. Ceci est la méthode choisie par Stormshield pour offrir les fonctionnalités d’authentification unique.

La GSS-API est une interface de programmation mettant à disposition des applications faisant appel à un ensemble de services liés à la sécurité. Elle permet entre autres de prendre en charge l'authentification d'un utilisateur, et de garantir la confidentialité et l'intégrité de chaque message échangé. De plus, elle fournit une interface unique prédominant les différents mécanismes de sécurité. De cette manière, si les correspondants acquièrent les crédences GSS-API pour le même mécanisme de sécurité, un contexte de sécurité sera établi entre eux.