Authentification unique (SSO) pour Dropbox

La capacité de déplacer des fichiers de manière sécurisée est devenue indispensable pour les entreprises. Dropbox est une application populaire de type software-as-a-service (SaaS) qui permet cela. Grâce à son stockage cloud, les fichiers peuvent être partagés depuis un emplacement central, avec un accès contrôlé et audité, une intégration avec les applications Microsoft, et la prise en charge de transferts de fichiers de grande taille.

Comme de nombreuses équipes utilisent Dropbox en parallèle d’autres applications SaaS, la plupart des organisations choisissent de le déployer via l’authentification unique (SSO). Cela permet aux employés de s’authentifier auprès de Dropbox et d’autres services réseau grâce à la commodité d’un identifiant unique.

Cependant, la phase de déploiement du SSO n’est pas toujours fluide. Elle nécessite souvent une infrastructure et des systèmes de sécurité supplémentaires imprévus.

De toute évidence, le SSO présente des limites. L’une d’elles est que, dans les environnements on-premises, le SSO ne supprime souvent pas la nécessité pour les employés de posséder des identifiants distincts pour les postes de travail, VPN, RDP ou IIS. Les employés peuvent utiliser des identifiants SaaS via le SSO, mais doivent tout de même gérer d’autres identifiants par eux-mêmes.

Deuxièmement, le SSO nécessite une infrastructure supplémentaire, qui n’est pas toujours simple ou économique à mettre en place. Si les organisations ne sont pas prudentes, ces services peuvent ajouter des coûts et de la complexité à une technologie censée simplifier la vie.

Le SSO excelle dans la maîtrise de l’explosion des applications SaaS — un inconvénient majeur du SaaS étant que chaque application impose ses propres identifiants. À mesure que les équipes utilisent davantage d’applications, les employés risquent d’être submergés.

La conséquence est une mauvaise sécurité. Pour y faire face, les utilisateurs finissent par réutiliser des identifiants ou utiliser des mots de passe faibles, créant ainsi des voies invisibles derrière les défenses de l’organisation que les cybercriminels peuvent exploiter.

Avec le SSO, les utilisateurs n’ont besoin que d’un seul identifiant pour accéder aux applications SaaS, au lieu de multiples identifiants dispersés. C’est évidemment plus pratique pour les utilisateurs, mais cela aide aussi les équipes de sécurité : il n’y a plus qu’un seul identifiant à protéger avec des politiques de sécurité renforcées et une surveillance plus efficace.

Beaucoup hésitent à mettre en œuvre le SSO en raison de ses risques inhérents pour la sécurité. Il peut, par exemple, créer un point de défaillance unique. En cas de compromission, un seul identifiant peut donner aux attaquants l’accès à plusieurs ressources.

C’est pourquoi les équipes proposant du SSO l’accompagnent toujours de couches supplémentaires de sécurité, comme des politiques de mots de passe strictes et une authentification multifacteur (MFA), afin de réduire les risques de compromission.

Les organisations utilisant des environnements AD doivent choisir quel système d'identité sera utilisé pour l’authentification SSO. La solution la plus courante consiste à intégrer un fournisseur d’identité (IdP) cloud, mais cela impose aux organisations de déléguer l’authentification à un prestataire externe. Pour certaines organisations, dépendre d’un fournisseur externe pour une fonction de sécurité aussi critique n’est pas idéal. Plus encore, cela peut augmenter le coût de mise en place du SSO, sans compter les surcoûts pour des protections de sécurité essentielles comme la MFA.

Dans les environnements AD on-premises, le SSO ne supprime pas toujours non plus la nécessité de saisir un mot de passe distinct pour d’autres ressources non SaaS, comme les postes de travail ou les VPN.

Les frais IdP par utilisateur pour le SSO ne constituent que la première partie de la facture. La suivante est la MFA, qui représente généralement un coût supplémentaire.

Pourquoi cela ? Principalement parce que, sur la plateforme Windows, des services tels que le SSO et la MFA ont longtemps été considérés comme des options supplémentaires, nécessaires uniquement pour les utilisateurs à haut risque.

Aujourd’hui, la plupart des experts en sécurité considèrent ces mesures comme essentielles pour la majorité, voire la totalité, des comptes. Mais l’ancien modèle persiste. Si vous souhaitez la commodité du SSO ou la sécurité de la MFA, vous devez généralement la configurer (et la financer) vous-même.

UserLock SSO a été conçu pour les organisations qui préfèrent mettre en œuvre le SSO à partir de leur infrastructure Active Directory locale existante.

Après tout, vous disposez déjà d’une plateforme d’authentification interne sous la forme de Windows Active Directory (AD), ce qui rend inutile le recours à un IdP externe.

Au cœur des réseaux on-premises se trouve Active Directory (AD), utilisé pour authentifier les utilisateurs lors de leur connexion. La mise en œuvre du SSO UserLock permet aux organisations de continuer à utiliser ce service d’annuaire, ce qui simplifie considérablement le temps et les coûts liés à l’intégration avec une plateforme tierce.

Les administrateurs peuvent configurer le SSO Active Directory via l’assistant de configuration intégré de UserLock SSO, transformant un déploiement potentiellement complexe en un projet gérable. Surtout, les équipes n’ont pas besoin de recourir à des solutions externes pour ajouter des couches essentielles de sécurité telles qu’une MFA granulaire et un contrôle d’accès utilisateur, qui sont incluses dans UserLock.

Avec UserLock SSO, vos utilisateurs finaux n’ont plus besoin de passer par la page de connexion Dropbox. À la place, l’autorisation d’accès à Dropbox est accordée via la connexion réseau de l’employé. Cette authentification forte, réalisée on-premises, leur donne accès à plusieurs ressources SaaS grâce à leur unique identifiant AD.

Voici comment activer le SSO UserLock pour Dropbox :

1. Activez Dropbox en tant que fournisseur dans la configuration de l’authentification unique de la console UserLock SSO, puis redémarrez le service.

2. Accédez à Dropbox Admin Console → Settings → Single sign-on et ajoutez les valeurs indiquées dans le guide de configuration UserLock SSO.