La configuration de l'authentification unique (SSO) est une étape essentielle pour qu'une organisation puisse sécuriser ses données sur ActivityInfo.
Identité, authentification et autorisation
Tous les utilisateurs qui ont accès à ActivityInfo et à une base de données ActivityInfo sont identifiés par une adresse e-mail. L'authentification est le processus par lequel un utilisateur avec une adresse e-mail se connecte à ActivityInfo, c'est-à-dire comment une personne prouve à ActivityInfo qu'elle est bien celle qu'elle prétend être.
Dans la plupart des cas, ActivityInfo s'en remet à l'organisation d'un utilisateur pour l'authentification. Si un utilisateur avec une adresse e-mail « @unhcr.org », par exemple, essaie de se connecter, ActivityInfo envoie l'utilisateur vers l'Entra ID (anciennement Active Directory) du HCR pour se connecter avec son identifiant HCR et le second facteur connu du HCR. Si l'utilisateur réussit, il est redirigé vers ActivityInfo avec un code spécial qu'ActivityInfo peut valider auprès du HCR.
Si l'organisation de l'utilisateur n'est pas connue d'ActivityInfo, l'utilisateur choisira plutôt un mot de passe spécifique à ActivityInfo pour s'authentifier auprès d'ActivityInfo.
L'autorisation est le processus qui consiste à déterminer si un utilisateur peut consulter certaines données ou effectuer une opération donnée. Contrairement à l'authentification, l'autorisation est généralement configurée dans ActivityInfo même.
Pourquoi le SSO est important
L'authentification des utilisateurs via le fournisseur d'identité de leur organisation présente un certain nombre d'avantages importants par rapport aux mots de passe spécifiques à ActivityInfo :
- Les utilisateurs sont plus susceptibles de choisir des mots de passe faibles pour les applications supplémentaires, par rapport à leur compte professionnel. (Même lorsque des règles de complexité sont appliquées)
- Vous pouvez appliquer l'authentification à deux facteurs (2FA) ou l'authentification multifacteur (MFA) le cas échéant.
- Lorsque les employés quittent l'organisation, ils perdent automatiquement l'accès aux bases de données ActivityInfo.
- Votre organisation dispose de plus d'informations sur le compte, ce qui permet de mieux détecter les attaques de prise de contrôle de compte. Microsoft Entra ou Google Workspace peuvent détecter les connexions suspectes en fonction du lieu d'affectation d'un utilisateur, de son activité sur d'autres applications et d'autres règles définies par votre organisation.
Politiques de domaine de messagerie
Dans ActivityInfo, une politique de domaine de messagerie mappe un domaine de messagerie tel que « @unhcr.org » ou « @example.gov » au répertoire de l'organisation correspondante, tel que Microsoft Entra ID (anciennement Active Directory) ou Google Workspace.
Ces politiques exigent qu'un utilisateur avec un domaine de messagerie spécifique se connecte via le fournisseur d'identité de son organisation. Les utilisateurs avec un domaine d'adresse e-mail correspondant ne sont pas autorisés à s'authentifier avec un mot de passe, ou via un autre fournisseur d'identité.
Pour sécuriser l'accès de votre organisation à ActivityInfo, il est important de s'assurer qu'une politique de domaine est en place pour tous les domaines de votre organisation. Veuillez contacter support@activityinfo.org pour commencer le processus.