- Pourquoi vous devez mettre en place un système d'authentification
- Quelles sont les méthodes d'authentification disponibles
- Authentificateurs personnalisés
- Mesures de sécurité supplémentaires
Pourquoi vous devez mettre en place un système d'authentification
Une bonne configuration d'authentification est l'une des mesures de sécurité les plus importantes que vous pouvez mettre en place pour sécuriser vos données. Le plus souvent, un système de contrôle d'accès détermine l'identité de l'utilisateur en fonction d'informations d'identification telles que le nom d'utilisateur et le mot de passe. Cependant, il existe de multiples systèmes d'authentification disponibles et dans les lignes qui suivent, vous en apprendrez davantage sur ceux qui sont compatibles avec XWiki, leurs avantages et le niveau de service que nous offrons pour chacun d'eux.
Quelles sont les méthodes d'authentification disponibles
Authentification standard XWiki (form auth)
La méthode par défaut pour assurer le contrôle d'accès au sein d'une instance XWiki est "l'authentification par formulaire". Cette méthode est disponible par défaut dans toute instance XWiki et nécessite un utilisateur et un mot de passe.
Active Directory
L'une des méthodes d'authentification les plus couramment utilisées est Active Directory, un service qui stocke des informations sur les comptes utilisateurs de votre organisation (noms, mots de passe, numéros de téléphone, etc.) et permet aux utilisateurs autorisés d'accéder à vos données. Les principaux avantages de l'utilisation d'Active Directory sont les suivants
- structure hiérarchique logique
- gestion des utilisateurs et des groupes
- synchronisation des utilisateurs
- mappage des groupes de AD à XWiki
Pour connecter XWiki à un serveur Active Directory, vous pouvez choisir l'une des options suivantes :
- L'application Active Directory Pro, qui offre un éditeur visuel et un support technique.
- L'approche manuelle et générique utilisant l'extension LDAP Authenticator.
Pour en savoir plus sur la façon de configurer et d'utiliser l'authentification avec Active Directory, consultez notre article dédié.
Single Sign-On
Le SSO1 est une méthode d'authentification populaire qui permet aux utilisateurs de s'authentifier auprès de plusieurs applications et sites web en utilisant un seul ensemble d'informations d'identification. Par rapport à Active Directory, où toutes les applications connectées nécessitent une authentification (à l'aide des mêmes informations d'identification), l'authentification unique fait référence à des systèmes où une seule authentification permet d'accéder à plusieurs applications.
Il existe de nombreux fournisseurs de SSO, tels que Okta, Google, Azure, OneLogin. Cependant, lors du choix du fournisseur SSO à utiliser avec XWiki, il est important de considérer le protocole qui sera utilisé.
Open ID / OAuth
OpenID Connect est une couche d'identité au-dessus du protocole OAuth 2.0. Il permet aux clients de vérifier l'identité de l'utilisateur final sur la base de l'authentification effectuée par un serveur d'autorisation, ainsi que d'obtenir des informations de base sur le profil de l'utilisateur final d'une manière interopérable et de type REST.
OpenID Connect permet aux clients de tous types, y compris les clients Web, mobiles et JavaScript, de demander et de recevoir des informations sur les sessions et les utilisateurs finaux authentifiés.2
Pour mettre en place l'authentification SSO via Open ID, vous pouvez soit utiliser les extensions dédiées, soit nous contacter pour une estimation.
SAML
SAML met en œuvre une méthode sécurisée pour transmettre les authentifications et les autorisations des utilisateurs entre le fournisseur d'identité et les fournisseurs de services.3
La configuration de l'authentification SAML est généralement effectuée par l'équipe spécialisée d'XWiki, en raison de sa complexité. Pour le moment, il n'y a pas de module disponible pour intégrer directement l'authentification basée sur SAML.
Authentificateurs personnalisés
Avec XWiki, il est possible de créer un authentificateur personnalisé, parfaitement adapté à vos besoins. Si vous souhaitez créer un authentificateur personnalisé, veuillez suivre notre documentation ou, si vous souhaitez que nous développions cette fonctionnalité pour vous, contactez-nous à tout moment.
Mesures de sécurité supplémentaires
Outre le système d'authentification, XWiki prend en charge des mesures de sécurité supplémentaires telles que l'authentification de base, la liste blanche d'adresses IP et bien d'autres.
Authentification de base HTTP
L'authentification de base HTTP est un mécanisme simple de défi et de réponse avec lequel un serveur peut demander des informations d'authentification (un ID utilisateur et un mot de passe) à un client. Le client transmet les informations d'authentification au serveur dans un en-tête Authorization.4
Pour en savoir plus sur la façon de configurer l'authentification de base sur votre instance XWiki, veuillez consulter notre documentation.
Liste blanche d'adresses IP
La liste blanche d'adresses IP est un mécanisme qui permet explicitement à certaines entités identifiées d'accéder à un service particulier. Cette méthode peut être mise en place par les utilisateurs ou par les administrateurs de l'infrastructure XWiki.
Sécurité supplémentaire
Pour en savoir plus sur toutes les fonctions de sécurité disponibles, veuillez consulter notre documentation. Si vous souhaitez découvrir la méthode d'authentification qui vous convient le mieux et discuter d'autres mesures de sécurité, n'hésitez pas à contacter l'un de nos responsables de la réussite des clients.
PLANIFIER UN APPEL AVEC UN SPÉCIALISTE XWIKI
Références
1 https://www.onelogin.com/learn/how-single-sign-on-works
3 https://www.varonis.com/blog/what-is-saml/
4 https://www.ibm.com/docs/en/cics-ts/5.4?topic=concepts-http-basic-authentication