BTB: SSO/SLO Aperçu
(BTB: Bundes Trustbroker, SSO: Single Sign-On, SLO: Single Logoff) Cette page contient une description détaillée de la fonctionnalité SSO/SLO, y compris des descriptions du point de vue de l'utilisateur.BTB: SSO/SLO Aperçu
Single Sign-On (SSO)
Le BTB SSO permet de configurer des groupes SSO. Un groupe SSO définit un groupe fiable de services et d'applications au sein duquel une authentification de l'utilisateur effectuée n'est plus nécessaire dès que l'utilisateur s'est connecté avec succès à une application du groupe SSO.- Une application ne peut appartenir qu'à un seul groupe SSO → Les groupes SSO sont sans intersection (disjoints).
- Chaque connexion réussie génère une session SSO. Il peut arriver que, bien que des applications appartiennent au même groupe SSO, des connexions multiples soient néanmoins nécessaires. Voir Exemple ×
Un groupe SSO est défini avec les applications A et B.
Pour l'application A, un login utilisateur est possible au moyen des fournisseurs d'identité FED-LOGIN et CH-LOGIN, pour l'application B seulement le CH-LOGIN.
Si l'utilisateur se connecte d'abord à l'application A en utilisant le FED-LOGIN, une session SSO FED-LOGIN est créée. Lors de l'appel de l'application B, l'utilisateur doit se connecter avec CH-LOGIN, une autre session SSO CH-LOGIN est donc créée.
Si, dans ce scénario, l'utilisateur se connecte initialement au moyen du CH-LOGIN, une session SSO CH-LOGIN est créée. Lors de l'appel de l'autre application, il n'est alors pas nécessaire de se connecter à nouveau.
Single Logout (SLO)
Grâce au BTB SLO, toutes les applications d'une même session SSO sont fermées de manière conforme lorsque l'utilisateur ;- se déconnecte activement d'une application au moyen du bouton "Logout".
- ferme toutes les instances de navigateur (fenêtres)
- la durée de vie de la session configurée est atteinte (durée de vie de la session, avec une session active max. 12 heures, avec des sessions inactives 2 heures).
- La connexion, la déconnexion et la reconnexion avec les IdPs définis et le niveau de QoA minimal sur l'application fonctionnent
- Un bouton de déconnexion vers une page de déconnexion a été implémenté dans l'application.
Commander, configurer et gérer les groupes SSO/SLO
Il convient de décrire ici comment et où le client peut commander les fonctionnalités et comment les parties prenantes peuvent ensuite les gérer.Conséquences financières pour les clients
Le SSO sous un Fully Qualified Domain Name (FQDN ; ex. www.gate.bit.admin.ch) commun est aujourd'hui facilement réalisable et inclus dans une implémentation standard eIAM (Remedy CRQ). Les exigences en matière de SSO sur plusieurs FQDN nécessitent un consultation payant en fonction des efforts déployés.Informations sur l'utilisation de SSO/SLO
Cette section répond aux questions les plus fréquentes concernant l'utilisation du SSO/SLO de BTB du point de vue des utilisateurs.Puis-je voir mes sessions SSO actives?
Non, cela n'est pas possible.
Que se passe-t-il si ma QoA d'une session SSO n'est pas suffisante pour accéder à une application?
S'il existe une session SSO valide et que l'utilisateur souhaite accéder à une application associée à ce groupe SSO, mais que l'application nécessite un QoA supérieur à celui de la session SSO, l'utilisateur doit s'authentifier avec la méthode appropriée pour atteindre le QoA requis. Si l'authentification est réussie, le QoA de la session SSO existante est adapté à la force d'authentification supérieure.
Comment puis-je éviter de rejoindre une session SSO?
Si un utilisateur souhaite en outre se connecter à une application définie dans le même groupe SSO/SLO et qu'il ne souhaite pas utiliser ce service, il peut contourner l'utilisation du service en utilisant un navigateur différent (Edge, Chrome, Firefox, etc.) pour cette application.
Je veux entrer avec le CH-LOGIN, mais je suis toujours connecté sur FED-LOGIN SSO?
Utilisez une fenêtre d'incognito ou un autre navigateur, de préférence avec un ordinateur portable privé au lieu de Federal-Workplace.