Les bénéfices de SSO pour se connecter aux bases de données des éditeurs juridiques

Je commence à voir se répandre chez les éditeurs juridiques, lentement et surtout chez les anglo-saxons, une nouvelle façon, plus pratique, de se connecter aux bases de données juridiques : le Single sign-on (SSO) ou authentification unique.

Les DSI de trois grands groupes d’édition juridique français, lors de la "Rencontre avec" organisée par Juriconnexion le 17 septembre 2021 sur le thème des problèmes techniques liées à l’utilisation des bases de données juridiques, ont par ailleurs confirmé qu’ils voulaient évoluer vers le SSO (et limiter l’accès par authentification IP, voire ne plus l’utiliser à terme).

Pour les éditeurs juridiques, l’accès IP est technologiquement obsolète et occasionne des problèmes répétés, notamment de par les fréquents changements de l’ "IP range" des serveurs des clients (on parle aussi de changement de plage IP d’un domaine).

SSO : aspects techniques

Il existe selon Wikipedia trois grandes classes d’approches pour la mise en œuvre de systèmes d’authentification unique (SSO, donc) : les approches centralisées, les approches fédératives et les approches coopératives.

Dans l’approche centralisée, celle que j’ai constatée comme la plus fréquente dans les structures du secteur privé, SSO s’appuie sur l’annuaire du réseau informatique interne de la structure cliente. Plus précisément ce qu’on appelle l’annuaire LDAP. Sur un réseau Microsoft, on parle d’Active Directory.

SSO consiste alors à fournir au prestataire de base de données en ligne la liste des identités et coordonnées réseau des personnes travaillant chez le client. En termes informatiques on parle de "directory", plus ou moins bien traduit en français par annuaire.

L’approche coopérative, dont le système Shibboleth est un exemple connu dans l’édition juridique, part elle du principe que chaque utilisateur dépend d’une des entités partenaires. Ainsi, lorsqu’il cherche à accéder à un service du réseau, l’utilisateur est authentifié par le partenaire dont il dépend. Les plateformes Lexis 360 et Navis et Mémentis de Francis Lefebvre utilisent le mode d’authentification Shibboleth avec les Universités.

*Si* je comprends bien, l’approche fédérative ("federated approach") en SSO est représentée par l’utilisation des SSO ouverts que sont SAML, OpenID et OAuth (voir infra).

Les bénéfices de SSO pour les GAFAM

SSO procure les avantages de l’accès authentification IP (pas de codes d’accès à retenir ni à gérer) sans ses inconvénients (avec SSO, chacun son compte utilisateur et la personnalisation est possible).

Single sign-on est très utilisé par les GAFAM, qui ont chacun le leur, mais des SSO ouverts comme OpenID et OAuth [1] sont développés et acceptés par des GAFAM. L’avantage de SSO pour les grands de l’Internet ? Ça leur permet :

• de connecter un utilisateur à *tous* leurs services en une seule fois. Pas la peine de se ré-identifier quand on passe de Google Mail à Google Drive, par exemple
• et mieux encore, avec le protocole Security Assertion Markup Language (SAML) ou OpenID et OAuth], de proposer en location l’identification qu’ils font de leur utilisateurs à des acteurs extérieurs à leur groupe. Par exemple, pour identifier les auteurs des commentaires sous un article de presse et limiter ainsi le spam et les insultes. Ou pour se créer un compte et se connecter pour écrire (ou lire) sur son blog Medium.

Une précision de langage : stricto sensu, il semble que Security Assertion Markup Language (SAML) et OpenID et OAuth ne soient pas exactement du SSO, mais fassent partie d’une catégorie plus large englobant le SSO, et nommée gestion des identités fédérées (FIM).

Les avantages de SSO pour les éditeurs juridiques

Mais les raison de l’utilisation de SSO par des éditeurs juridiques (par exemple l’éditeur britannique FromCounsel) seront différentes. Par exemple, les très gros éditeurs ne devraient a priori pas être intéressés par la fonctionnalité par l’identification par des acteurs extérieurs (sauf s’ils font partie de leurs partenaires).

Les petits éditeurs pourraient être plus intéressés par les SSO des GAFAM.

Les clients de certains petits éditeurs pourraient particulièrement bénéficier de SSO. Par exemple, Revue Banque. Elle n’a qu’une plateforme à elle : revue-banque.fr. Mais elle a un partenariat avec Cyberlibris pour sa bibliothèque numérique. Résultat : elle doit gérer deux sites, et ses utilisateurs doivent se reconnecter (avec le même code d’accès) à la bibliothèque numérique Revue Banque sur Cyberlibris après s’être connecté à revue-banque.fr. Beaucoup d’utilisateurs ne comprennent même pas qu’ils ne sont plus connectés, veulent consulter un livre numérique et, une fois passé la couverture, se disent « Mais ça ne marche pas ! » En haut dans le navigateur, le nom de domaine est toujours revue-banque.fr mais c’est trompeur. En réalité, la véritable adresse web est masquée : ils sont sur cyberlibris.fr et les codes d’accès qu’ils ont donnés au serveur revue-banque.fr n’ont pas été transmis au serveur cyberlibris.fr. Avec SSO sur les deux domaines, fini le problème.

Avec SSO, la sécurité augmente, pour l’éditeur comme pour les structures abonnées. En effet, les utilisateurs enregistrés ne peuvent plus partager leurs codes d’accès avec d’autres personnes, puisqu’il n’y a plus de codes d’accès.

Mais bon, l’authentification IP sait aussi faire ça.

En SSO, surtout, dès qu’un utilisateur quitte la structure, on peut soit lui retirer son accès (si on a besoin de maintenir son adresse mail) soit le supprimer du réseau de l’entreprise, ce qui revient à supprimer son accès aux bases de l’éditeur.

Mais bon, là aussi, l’accès IP sait faire ça.

En revanche, ce qu’un accès IP [2] ne sait pas faire, c’est personnaliser le profil de l’utilisateur, par exemple lui permettre de consulter l’historique de ses recherches à lui ou encore de personnaliser son interface. SSO sait le faire.

Avec SSO, la transparence augmente aussi  : combien d’utilisateurs réels, combien d’utilisateurs potentiels, les statistiques d’usage deviennent plus faciles à produire.

C’est très pratique pour diffuser une base de données dans une structure. Plus de gestion des comptes utilisateurs, plus de gestion des codes d’accès. L’accès à la base de données de l’éditeur est activée et désactivée directement depuis l’Active Directory (AD) de la structure cliente. Autrement dit, aussitôt arrivé dans la structure, le nouveau collaborateur peut avoir son accès personnel, pas de délai. S’il quitte la structure, le département informatique peut lui retirer cet accès sans délai.

Attention aux inconvénients

• l’utilisation anonyme (adresse IP) de la base de données, c’est terminé
• transmettre un couple ID + mot de passe à un stagiaire ou un nouvel arrivant devient impossible
• certaines technologies SSO (Kerberos) ne permettent pas de contrôler les données personnelles transmises
• les liens hypertextes dans l’intranet et les emails vont devoir être réécrits pour inclure dans l’URL le nom de votre structure. Par exemple, dans l’intranet et les emails, tout lien vers une page de FromCounsel devra s’écrire http://www.fromcounsel.com/client/name_of_firm

Emmanuel Barthe
juriste documentaliste (a été responsable informatique d’un cabinet d’avocats de petite taille)