Comment Apple améliore l'authentification unique

Comment Apple améliore l'authentification unique

Parmi une multitude d'annonces lors de la WWDC de cette année, des changements importants ont été apportés à la prise en charge par Apple de l'authentification unique (SSO). Voici ce qui vous attend lorsque de nouvelles mises à jour seront livrées cet automne.

Authentification unique + BYOD = iOS 16, iPadOS 16

Apple a introduit pour la première fois le support SSO lors de la WWDC 2019 avec Se connecter avec Apple, qui a également vu l'introduction d'extensions pour activer ce type d'authentification. Il permettait à un utilisateur d'accéder à un service ou à un site Web à l'aide de son identifiant Apple et signifiait la prise en charge des fournisseurs d'identité, l'utilisation de signatures hautement sécurisées basées sur des jetons et les outils nécessaires aux fournisseurs de services pour mettre en œuvre ces systèmes.

C'était la v.1, et Apple n'a cessé d'améliorer ses offres depuis. Pourtant, la réalité est que, comme les applications et les services doivent être équipés pour accepter le SSO, il est parfois nécessaire d'utiliser des services d'authentification tiers comme Okta et d'autres, ou simplement de se connecter manuellement pour accéder à certains sites.

Apple à la WWDC 2022 a mis à jour l'authentification unique avec deux améliorations clés :

Nouveautés de la prise en charge de l'authentification unique pour l'enregistrement des utilisateurs

Ce qui a changé, c'est que lors de l'inscription d'un appareil iOS, les utilisateurs peuvent désormais télécharger une application mobile à partir de leur fournisseur d'identité (IdP) pour activer l'utilisation de l'authentification unique sur esta unidad. El sistema también requiere una ID de Apple administrada configurada con Apple Business o School Manager y el uso de cualquier sistema de administración de dispositivos móviles (MDM), como Apple Business Essentials, Jamf o Kandji, para evitar nombrar solo tres.

Apple a également rendu possible l'utilisation d'Apple Configurator pour iPhone pour ajouter des Mac, iPad et iPhone à Apple Business ou School Manager à partir de cet automne. L'entreprise a également facilité l'inscription des appareils personnels dans le MDM.

L'explication la plus simple du fonctionnement du système d'Apple est qu'une fois l'inscription terminée, l'application IdP reste active sur l'appareil pour assurer la médiation des authentifications des applications et des services. Pour un utilisateur final, l'expérience est qu'une fois que vous vous êtes connecté à votre iPhone/iPad, vous n'avez pas besoin de vous authentifier à l'aide d'autres applications et services pris en charge.

Qu'est-ce que la prise en charge de Platform SSO pour Mac ?

Pour les Mac, l'ajout de la prise en charge de la plate-forme SSO signifie que les utilisateurs seront connectés à toutes les applications et sites Web qui utilisent l'IdP de leur entreprise une fois qu'ils auront authentifié leur Mac lors de la connexion. Au fur et à mesure qu'ils utilisent votre ordinateur, l'authentification aura lieu sur la force de la première connexion, qui à son tour a été médiatisée par l'IdP et stockée dans le trousseau, ce qui signifie que tout se passe dans les coulisses, sous réserve de la politique d'authentification qu'il adopte.

(Les employés auront toujours besoin de leurs propres informations d'identification pour accéder aux sites, applications et services personnels, bien sûr.)

Apple appelle Platform SSO un remplacement pour Active Directory, mais cela oblige les IdP à implémenter le protocole et les fournisseurs de gestion des appareils pour mettre à jour leurs profils pour le prendre en charge.

Apple prend désormais également en charge l'authentification OAuth 2.0. Il s'agit d'une étape importante pour les deux fonctionnalités précédentes, car elle permet la prise en charge de systèmes de provisionnement d'identité supplémentaires à partir de services tiers. Apple Business Manager et Apple School Manager prennent désormais en charge la fédération des identifiants Apple gérés avec Google Workspace et Microsoft Azure AD.

Le mot de passe est mort alors utilisez des mots de passe forts

Alors que toutes les améliorations SSO ci-dessus visent à atténuer les frictions pour les déploiements d'entreprise, Apple se concentre également sur la réduction du besoin d'autorisation d'une manière plus pluraliste. Leur travail pour remplacer la technologie CAPTCHA par une autorisation transparente qui utilise également cette première connexion à l'appareil comme norme de confiance signifie que les mots de passe n'auront plus d'importance. Ironiquement, ce travail, et le SSO en général, signifie également que le mot de passe principal que vous et vos employés utilisez pour accéder aux appareils est devenu beaucoup, beaucoup plus important. Il faut vraiment qu'il soit fort...

Après tout, avec SSO, si votre mot de passe principal est 1, 2, 3, 4, il ne faudra vraiment pas grand-chose pour pénétrer dans vos systèmes sensibles. Au contraire, cela suggère que vous devriez expliquer la nécessité de mots de passe forts pour les appareils (et d'une autorisation biométrique) à vos employés avant qu'Apple ne livre ses nouveaux systèmes plus tard cette année.

Suivez-moi sur Twitter ou rejoignez-moi au bar & grill d'AppleHolic et aux groupes de discussion Apple sur MeWe.

Copyright © 2022 IDG Communications, Inc.