Annuaire #HealthTech
Le réseau thématique santé de la FrenchTech
En développant de nombreuses applications publiques nous acquérons un retour d’expérience indispensable pour la qualité de notre offre de sécurité fondée sur notre serveur d’authentification.
Position du problème
La plupart des système SaaS intègrent l’application et le système de vente dans un même logiciel.
Si différentes applications web doivent être diffusées en mode SaaS par une même entité, le premier problème à résoudre consiste à assurer le service de connexion unique (SSO) entre le système de vente et les différentes applications, sans oublier les sites support tels que la plateforme CRM et les sites de communauté. Pas de problème, c’est le rôle d’un serveur OIDC, OAuthSD fait cela très bien.
Le deuxième problème, plus intéressant, consiste à transmettre des informations du système de vente vers les applications.
S’agissant de la validité de l’abonnement et des options (payantes), il faut sécuriser ces données, c’est à dire permettre à l’application destinataire de contrôler :
l’intégrité (les données n’ont pas été falsifiées),
l’authenticité de leur origine (elles ont bien été délivrées par le système SaaS),
l’actualité (ce sont bien des données valides à l’instant considéré),
la destination (ce sont bien des données relatives à cette application),
et bien sûr l’identité de l’utilisateur final (ce n’est pas un intrus qui utilise l’application).
La solution : OAuthSD
OAuthSD permet d’intégrer les données SaaS sous forme de déclarations supplémentaires dans la charge utile du jeton. Il suffira à l’application destinataire (cliente du serveur OIDC) de valider le jeton d’identité par introspection (et non localement afin d’assurer l’actualité) pour réaliser en une seule opération les contrôles décrits ci-dessus.
Le système i-Tego SaaS.html et l’une de ses applications O-DGuide illustrent parfaitement cette technique.
Pour réaliser cela, nous avons :
intégré dans une même application le serveur OIDC et le système de vente,
développé des plugin d’extension OIDC-SaaS notamment pour des applications fondées sur SPIP ou Wordpress .
Publié par Bertrand DEGOY le 01 septembre 2021 sur https://doc.i-tego.com/
i-Tego SAS
https://i-tego.com
SAS au capital de 15000 euros
contact@i-tego.com
i-Tego SAS
26 rue Lavoisier
Bat A du pôle Technologique
52800 NOGENT
Pour en savoir plus :
La donnée : source d’information ou vecteur de confusion
Matinale technologique n°18 : Cybersécurité le Mardi 12 décembre 2017 à Nogent
Une matinale protectrice le 12 décembre 2017 à Nogent
Matinée « Santé, Intelligence Artificielle et Cybersécurité : quels enjeux ? » le 22 novembre 2018 à Rennes
5ème colloque sur la cybersécurité des systèmes d’information pour les établissements sanitaires et médico-sociaux le 03 octobre 2019 à Paris
La cyberattaque du CHU de Rouen serait bien d’origine criminelle le 15 novembre 2019 à Rouen
« La cybersécurité, enjeu majeur des acteurs de la santé » le 12 décembre 2019 à Paris
Un rapport déplore le niveau de la sécurité et des mots de passe en entreprise le 24 février 2020
Le gouvernement dévoile un plan d’un milliard d’euros pour faire émerger des pépites de la cybersécurité le 18 février 2021
Recrudescence des rançongiciels : votre organisation est-elle prête ? le 9 juillet 2021
« La cybersécurité, enjeu majeur des acteurs de la santé » le 12 décembre 2019 à Paris
Un rapport déplore le niveau de la sécurité et des mots de passe en entreprise
ZTNA : retour sur le concept du Zero Trust
En quoi OIDC contribue-t-il à l’approche ZTNA ?
i-Tego protège l’accès aux données des entreprises le 26 juillet 2021
En finir avec les mots de passe ! le 4 août 2021
Créez des audio-guides pour les smartphones de vos visiteurs le 9 août 2021
SaaS et OIDC : comment ça marche ? le 01 septembre 2021
L’offre d’i-Tego pour l’authentificationle le 03 septembre 2021
RSS 2.0