Authentification unique (SSO) UserLock pour Salesforce

L’authentification unique (SSO) UserLock pour Salesforce sécurise l’accès à Salesforce des identités Active Directory sur site.

Publié le 30 avril 2025
Single sign on for Salesforce

Mentionnez le SaaS, et l’une des premières applications qui vient à l’esprit est la plateforme de gestion de la relation client (CRM) Salesforce. À son lancement, Salesforce était principalement utilisé par les équipes commerciales et marketing. L’usage s’est rapidement étendu à d’autres services, ce qui a entraîné une augmentation constante du nombre d’employés nécessitant un accès.

Salesforce contient de nombreuses données sensibles, et leur protection est toujours une priorité élevée. Les risques sont importants, ce qui rend essentiel la mise en place de couches de sécurité supplémentaires telles que l’authentification unique (SSO) et l’authentification multifacteur (MFA).

Le défi de la sécurité SaaS

La sécurité constitue toujours un important défi pour le SaaS. Comme pour tout SaaS, l’accès nécessite généralement des identifiants spécifiques à la plateforme.

Le problème est que les organisations dans le monde utilisent en moyenne 112 applications SaaS. Déployer et gérer des identifiants individuels pour chaque plateforme devient rapidement impraticable.

Avec un nombre croissant d’identifiants à gérer, les employés optent pour des mots de passe faciles à retenir mais peu sécurisés, ou réutilisent tout simplement le même identifiant sur plusieurs comptes.

Cela amplifie les risques liés à l’identité, en particulier pour les organisations reposant sur Active Directory en local.

Comment le SSO rend la sécurité SaaS plus facile à gérer

La solution la plus courante aujourd’hui consiste à utiliser le SSO afin de regrouper plusieurs connexions SaaS sous un seul identifiant. Le SSO facilite la vie de tout le monde.

Les utilisateurs apprécient de n’avoir qu’un seul identifiant pour accéder à différents services.

Pendant ce temps, les équipes de sécurité y gagnent également puisqu’il n’y a plus qu’un seul identifiant à protéger. Elles peuvent en plus le sécuriser avec des politiques renforcées, telles que la MFA et la surveillance des accès.

Mais pour les environnements Active Directory locaux, la mise en place du SSO n’est pas toujours simple.

Mettre en œuvre le SSO Salesforce dans un environnement Active Directory local ou hybride

En apparence, cela semble simple. Mais implémenter le SSO pour des applications SaaS comme Salesforce introduit des risques et des complexités. Les organisations disposant d’un environnement Active Directory local ou hybride doivent garder à l’esprit :

  • Le SSO n’élimine pas la nécessité de saisir un mot de passe distinct (dans la plupart des cas) pour accéder à un poste de travail. Le SSO consolide le processus de connexion à plusieurs applications SaaS, mais ne réduit pas à lui seul le nombre total de connexions à une seule.

  • Le SSO peut également créer un point de défaillance unique. Cela signifie que des attaquants peuvent accéder à Salesforce ainsi qu’à toute autre application SaaS connectée en SSO s’ils compromettent l’identifiant SSO. C’est pourquoi les organisations proposant une authentification SSO ont tout intérêt à la mettre en œuvre avec des couches de sécurité supplémentaires telles que des politiques de mots de passe robustes et la MFA. Ensemble, ces mesures réduisent les risques de compromission. De nombreuses applications SaaS comme Salesforce exigent déjà la MFA (lisez-en plus sur l’obligation de MFA Salesforce).

  • Les organisations doivent choisir quel système d’identité utiliser pour l’authentification SSO. La réponse la plus courante consiste à s’intégrer à un fournisseur d’identité (IdP) cloud, mais cela implique de confier l’authentification à un prestataire externe. Pour certaines organisations, cela élargit la surface d’attaque au-delà de ce que leurs objectifs de sécurité ou leurs exigences de conformité autorisent. Cela peut également augmenter le coût de la mise en œuvre SSO, y compris les protections essentielles comme la MFA.

Les coûts d’authentification et de sécurité augmentent rapidement

D’après nos dernières vérifications, Salesforce ne facture pas de frais supplémentaires pour le SSO de son côté.

Du côté IdP, il existe souvent des frais élevés par utilisateur pour le SSO — et ce n’est que la première partie des coûts. L’étape suivante est la MFA, généralement facturée séparément.

Pourquoi cela ?

Principalement parce que, dans l’écosystème Windows, des services tels que le SSO et la MFA ont longtemps été considérés comme des options supplémentaires nécessaires uniquement pour les utilisateurs à haut risque.

Aujourd’hui, les bonnes pratiques de sécurité informatique soulignent la nécessité d’une protection pour la majorité, voire la totalité, des comptes. Mais l’ancien modèle persiste. Si vous souhaitez la commodité du SSO ou la sécurité de la MFA, le statu quo exige de vous organiser (et de payer) vous-même.

Simplifier le SSO et la MFA grâce à l’infrastructure existante

L’ironie est que de nombreuses organisations disposent déjà d’une plateforme d’authentification interne : Active Directory (AD) sous Windows. Pour elles, il peut être inutile de dépendre d’un IdP externe pour la mise en œuvre du SSO.

C’est précisément pour ces organisations que le SSO Active Directory de UserLock a été conçu : celles qui préfèrent implémenter le SSO via leur infrastructure locale existante.

La philosophie derrière UserLock SSO est que ces organisations disposent déjà de tout ce qu’il faut pour adopter cette technologie sans surpayer des plateformes externes.

UserLock, une solution SSO à serveur unique

Au cœur des réseaux sur site se trouve Active Directory (AD), responsable de l’authentification des utilisateurs lors de leur connexion. La mise en œuvre du SSO UserLock permet aux organisations de continuer à utiliser ce service d’annuaire, simplifiant grandement le temps et les coûts d’intégration avec un IdP ou une plateforme SSO tiers.

Les administrateurs peuvent configurer le SSO grâce aux outils et assistants intégrés de UserLock SSO, transformant une mise en place potentiellement lourde en un projet gérable. Et surtout, ils n’ont pas besoin de chercher ailleurs pour ajouter des couches de sécurité essentielles, telles que la MFA granulaire et les contrôles d’accès, qui sont fournis nativement avec UserLock.

Configuration de UserLock avec Salesforce

Avec UserLock SSO en place, les utilisateurs finaux n’ont plus besoin d’effectuer une connexion Salesforce.

Au lieu de cela, l’autorisation d’accéder à Salesforce devient une extension de la connexion réseau de l’employé. Cette connexion leur donne accès à toutes les ressources SaaS métiers, avec un seul identifiant.

Les administrateurs peuvent décider d’autoriser ou non un employé à accéder à Salesforce grâce aux stratégies UserLock.

Pour configurer cela, ils définissent d’abord la relation de confiance entre UserLock SSO et Salesforce dans les deux consoles. Côté Salesforce, cela peut être fait manuellement ou, plus simplement, via les métadonnées.

Vous trouverez des instructions détaillées dans le guide de configuration du SSO UserLock pour Salesforce.

Rendre le SSO aussi simple que possible

Comme Salesforce doit coexister avec un nombre croissant d’applications SaaS, les entreprises ont recours au SSO pour consolider l’accès aux applications sous un seul identifiant.

Mais la mise en œuvre du SSO confronte les organisations à des choix complexes, surtout pour celles qui souhaitent conserver leur infrastructure de sécurité principale sur site. Sans planification minutieuse, elles peuvent se retrouver à gérer une infrastructure supplémentaire et à payer pour des services IdP additionnels qui ne répondent pas à leurs besoins.

UserLock SSO propose une approche simple, basée sur un seul serveur, qui permet d’éviter ces problèmes.

Avec UserLock, votre organisation peut continuer à utiliser son infrastructure AD existante pour l’authentification, tout en protégeant l’accès SSO grâce à la MFA et au contrôle d’accès utilisateur.

Et les employés n’ont plus qu’un seul identifiant AD à gérer, qui sécurise désormais l’accès à toutes leurs applications SaaS.

XFacebookLinkedIn

Daniel Garcia Navarro

Directeur de l’ingénierie logicielle, IS Decisions

Daniel Garcia est Directeur de l’ingénierie logicielle chez IS Decisions, où il dirige le développement de solutions de gestion des accès sécurisées et évolutives. Titulaire d’un master en ingénierie des télécommunications, il apporte une expertise technique solide à la sécurité des identités en entreprise.