“Une authentification unique pour accéder à toutes mes applications.” Si cette demande n’est pas nouvelle, l’année écoulée nous a montré qu’il s’agit là d’un besoin que l’on retrouve chez un nombre croissant de nos clients. La solution technologique par excellence qui permet de répondre à ce besoin s’appelle le SSO (Single Sign-On — ou authentification unique).
Si le SSO se définit simplement, il s’agit en revanche d’un sujet technique hautement complexe.
En tant que portail d’accès au parc applicatif, il est une cible de choix pour les attaques informatiques et doit donc répondre aux normes de sécurité les plus strictes et les plus récentes. Comme point de passage obligatoire pour se connecter aux applications, il doit être résilient aux pannes et surcharges afin de ne pas bloquer l’accès à tout le parc applicatif. Et c’est sans parler de toutes les fonctionnalités auxiliaires qui lui incombent : récupération de mot de passe perdu, social login, vérification d’email, inscription, authentification double facteur, stockage sécurisé des mots de passe et données utilisateurs, et j’en passe : la liste est longue !
On le comprend dès lors, une solution SSO complète doit coûter cher. Rares sont nos clients dont le budget est suffisant pour s’offrir la crème de la crème : les services d’une solution SSO en SaaS chez un des nombreux acteurs du marché. En effet, ces services proposent tous une offre de très haute qualité, ce qui entre alors parfois en contradiction avec nos clients qui partagent ce besoin fonctionnel mais dont le projet est de dimension plus modeste. Alors quoi, ceux qui n’ont pas ce privilège seraient-ils condamnés à dégrader fortement l’expérience utilisateur de leur clientèle ou la sécurité ? Rien n’est moins sûr ; si cela était encore le cas récemment, un nouvel arrivant dans le monde du SSO vient bouleverser la donne : j’ai nommé Keycloak.
Keycloak est la toute première solution SSO open source digne de ce nom. Le projet est porté par Red Hat, ce qui lui confère d’office l’autorité d’un des plus gros acteurs mondiaux de la tech. C’est un projet vivant, mis à jour très régulièrement et qui bénéficie à la fois de l’expertise des développeurs Red Hat et de la communauté des développeurs volontaires soucieux de faire progresser l’outil qu’ils utilisent au quotidien.
Les avantages de Keycloak sont nombreux.
C’est un serveur SSO extrêmement configurable : il existe une myriade de paramètres et nous pouvons ajouter nos propres thèmes afin de personnaliser intégralement les écrans de login. Et Keycloak va même encore plus loin, il est possible de développer des extensions Java afin de s’adapter encore mieux au système d’information dans lequel il s'intégrera. Chez ZOL, nous avons déjà développé nombre de ces extensions pour nos clients. Pour ne donner qu’un exemple, nous avons développé une extension qui permet d’envoyer les mails du SSO (par exemple le mail de récupération de mot de passe perdu) au travers de l’API du CRM de notre client, plutôt que par un quelconque serveur SMTP tel que le permet Keycloak par défaut. Les possibilités sont presques infinies !
Enfin, ZOL est également fier de mettre gratuitement à disposition de la communauté open source la première extension Keycloak permettant d’activer le social login avec Sign in with Apple sous licence Apache (en attendant sa prise en charge officielle par Keycloak). Servez-vous !