La configuration de l'authentification unique (SSO) est une étape essentielle pour qu'une organisation sécurise ses données sur ActivityInfo.
Identité, authentification et autorisation
Tous les Utilisateurs qui ont accès à ActivityInfo et à une Base de données ActivityInfo sont identifiés par une adresse e-mail. L'authentification est le processus par lequel un Utilisateur avec une adresse e-mail se connecte à ActivityInfo, c'est-à-dire la manière dont une personne prouve à ActivityInfo qu'elle est bien celle qu'elle prétend être.
Dans la plupart des cas, ActivityInfo s'en remettra à l'organisation d'un Utilisateur pour l'authentification. Si un Utilisateur avec une adresse e-mail « @unhcr.org », par exemple, essaie de se connecter, ActivityInfo envoie l'Utilisateur vers l'Entra ID de l'UNHCR (anciennement Active Directory) pour se connecter avec son identifiant UNHCR et le deuxième facteur connu de l'UNHCR. Si l'Utilisateur réussit, il est redirigé vers ActivityInfo avec un code spécial qu'ActivityInfo peut valider auprès de l'UNHCR.
Si l'organisation de l'Utilisateur n'est pas connue d'ActivityInfo, l'Utilisateur choisira alors un mot de passe spécifique à ActivityInfo pour s'authentifier auprès d'ActivityInfo.
L'autorisation est le processus qui consiste à déterminer si un Utilisateur peut consulter certaines données ou effectuer une opération donnée. Contrairement à l'authentification, l'autorisation est généralement configurée dans ActivityInfo même.
Pourquoi la SSO est importante
L'authentification des Utilisateurs via le fournisseur d'identité de leur organisation présente un certain nombre d'avantages importants par rapport aux mots de passe spécifiques à ActivityInfo :
- Les Utilisateurs sont plus susceptibles de choisir des mots de passe faibles pour des applications supplémentaires, par rapport à leur compte professionnel. (Même lorsque des règles de complexité sont appliquées)
- Vous pouvez imposer l'authentification à deux facteurs (2FA) ou l'authentification multifacteur (MFA) le cas échéant
- Lorsque les employés quittent l'organisation, ils perdent automatiquement l'accès aux bases de données ActivityInfo
- Votre organisation dispose de plus d'informations sur le compte, ce qui permet une meilleure détection des attaques de prise de contrôle de compte. Microsoft Entra ou Google Workspace peuvent détecter des connexions suspectes en se basant sur le lieu d'affectation d'un Utilisateur, son activité sur d'autres applications et d'autres règles que votre organisation définit.
Politiques de domaine d'e-mail
Dans ActivityInfo, une politique de domaine d'e-mail associe un domaine d'e-mail comme « @unhcr.org » ou « @example.gov » au répertoire de l'organisation correspondante, tel que Microsoft Entra ID (anciennement Active Directory) ou Google Workspace.
Ces politiques exigent qu'un Utilisateur avec un domaine d'e-mail spécifique se connecte via le fournisseur d'identité de son organisation. Les Utilisateurs dont le domaine d'adresse e-mail correspond ne sont pas autorisés à s'authentifier avec un mot de passe ou via un autre fournisseur d'identité.
Pour sécuriser l'accès de votre organisation à ActivityInfo, il est important de s'assurer qu'une politique de domaine est en place pour tous les domaines de votre organisation. Contactez support@activityinfo.org pour commencer le processus.