SaaS et OIDC : comment ça marche ?

, par Bertrand Degoy, christophe Juppin

Une des fonctionnalités que i-Tego a développées au plus haut niveau avec son serveur Open ID Connect (OIDC) consiste à transmettre des informations sécurisées au moyen du jeton d’identité JWT signé (JWS).
Nous développons i-Tego SaaS, un système de diffusion de logiciel en tant que service (Software as Service, SaaS). Dans cette application, OAuthSD fournit l’authentification OIDC et transmet de façon sécurisée aux applications SaaS les paramètres relatifs aux abonnements des souscripteurs.


En développant de nombreuses applications publiques nous acquérons un retour d’expérience indispensable pour la qualité de notre offre de sécurité fondée sur notre serveur d’authentification.

Position du problème

La plupart des système SaaS intègrent l’application et le système de vente dans un même logiciel.

Si différentes applications web doivent être diffusées en mode SaaS par une même entité, le premier problème à résoudre consiste à assurer le service de connexion unique (SSO) entre le système de vente et les différentes applications, sans oublier les sites support tels que la plateforme CRM et les sites de communauté. Pas de problème, c’est le rôle d’un serveur OIDC, OAuthSD fait cela très bien.

Le deuxième problème, plus intéressant, consiste à transmettre des informations du système de vente vers les applications.
S’agissant de la validité de l’abonnement et des options (payantes), il faut sécuriser ces données, c’est à dire permettre à l’application destinataire de contrôler :
- l’intégrité (les données n’ont pas été falsifiées),
- l’authenticité de leur origine (elles ont bien été délivrées par le système SaaS),
- l’actualité (ce sont bien des données valides à l’instant considéré),
- la destination (ce sont bien des données relatives à cette application),
et bien sûr l’identité de l’utilisateur final (ce n’est pas un intrus qui utilise l’application).

La solution : OAuthSD

OAuthSD permet d’intégrer les données SaaS sous forme de déclarations supplémentaires dans la charge utile du jeton. Il suffira à l’application destinataire (cliente du serveur OIDC) de valider le jeton d’identité par introspection (et non localement afin d’assurer l’actualité) pour réaliser en une seule opération les contrôles décrits ci-dessus.

Le système i-Tego SaaS.html et l’une de ses applications O-DGuide illustrent parfaitement cette technique.

Pour réaliser cela, nous avons :
- intégré dans une même application le serveur OIDC et le système de vente,
- développé des plugin d’extension OIDC-SaaS notamment pour des applications fondées sur SPIP ou Wordpress .

Publié par Bertrand DEGOY le 01 septembre 2021 sur https://doc.i-tego.com/

Contact :

i-Tego SAS
https://i-tego.com
SAS au capital de 15000 euros
contact@i-tego.com

i-Tego SAS
26 rue Lavoisier
Bat A du pôle Technologique
52800 NOGENT

PDF - 3.6 Mo
L’offre d’i-Tego pour l’authentification.

Pour en savoir plus :

- Huit entreprises du Grand Est au CES de Las Vegas du 9 au 12 janvier 2018 !
- Les bâtiments-totem de la French Tech dans le Grand Est
- Les Réseaux Thématiques French Tech dans le Grand Est
- Un rapport déplore le niveau de la sécurité et des mots de passe en entreprise le 24 février 2020
- ZTNA : retour sur le concept du Zero Trust
- En quoi OIDC contribue-t-il à l’approche ZTNA ? 24 avril 2020
- Lorntech devient French Tech East le 16 mars 2021
- i-Tego protège l’accès aux données des entreprises le 26 juillet 2021
- En finir avec les mots de passe ! le 4 août 2021
- Créez des audio-guides pour les smartphones de vos visiteurs le 9 août 2021
- SaaS et OIDC : comment ça marche ? le 01 septembre 2021
- L’offre d’i-Tego pour l’authentification le 03 septembre 2021