Sécuriser l’accès aux applications hébergées sur AWS avec UserLock SSO
Faites évoluer le single sign-on (SSO) sécurisé vers des milliers d’applications SaaS sur AWS avec UserLock.
Publié le 28 août 2025)
)
)
)
Si un cas d’usage illustre pourquoi l'authentification unique (SSO) est devenu essentiel pour la gestion de l’authentification en entreprise, c’est bien Amazon Web Services (AWS) et les milliers d’applications cloud qu’il héberge.
Dans de nombreuses organisations, les administrateurs et les utilisateurs doivent gérer des dizaines, voire des centaines de comptes AWS. Sans SSO, cette prolifération d’applications SaaS devient rapidement ingérable et peu sécurisée.
Le SSO consolide l’accès à plusieurs comptes AWS sous une seule identité et en centralise la gestion de manière sécurisée. Comme toutes les grandes plateformes cloud et SaaS, Amazon propose son propre système de gestion des identités : AWS IAM Identity Center (anciennement AWS SSO).
Et surtout, IAM Identity Center ne se limite pas à la gestion des comptes AWS. Il offre également un accès à des milliers d’applications hébergées sur AWS, telles que Salesforce, SAP et ServiceNow, via un portail unique.
Il est donc essentiel de bien réfléchir avant d’adopter IAM Identity Center ou un IdP tiers pour l’authentification SSO.
Malgré ses avantages, l’utilisation d’IAM Identity Center, ou de tout autre fournisseur d’identité cloud, comporte des inconvénients.
La plupart des IdP tiers facturent des frais par utilisateur et par mois, qui s’accumulent rapidement. IAM Identity Center ne facture pas de frais supplémentaires, mais dans les déploiements réels, il peut exister des coûts liés au réseau sous-jacent ou aux services d’automatisation.
L’utilisation d’un IdP tiers soulève également des enjeux de souveraineté des données, de conformité et de sécurité. Pour certaines organisations, garder la plateforme d’authentification en interne est donc une exigence incontournable.
Le SSO peut créer un point de défaillance unique. En cas de compromission, un seul identifiant peut donner aux attaquants l’accès à de nombreuses ressources. C’est pourquoi les organisations qui adoptent le SSO ajoutent toujours des couches de sécurité supplémentaires, comme des politiques de mot de passe robustes et l’authentification multifacteur (MFA). Cependant, selon l’IdP choisi, l’ajout de la MFA pour les applications hébergées sur AWS représente souvent un coût supplémentaire, alourdissant encore la facture du SSO.
Une alternative plus simple et moins coûteuse consiste à mettre en œuvre le SSO via UserLock SSO. Celui-ci exploite votre infrastructure Active Directory (AD) locale existante, sans avoir besoin d’un IdP externe. Les administrateurs peuvent utiliser les outils et assistants intégrés de UserLock SSO pour transformer une configuration complexe en un processus gérable.
Et surtout, il n’est pas nécessaire de payer pour ajouter des couches de sécurité essentielles comme la MFA granulaire, le contrôle d’accès utilisateur ou la synchronisation cloud avec IAM Identity Center : tout est inclus dans l’abonnement UserLock.
Ainsi, vous gardez la maîtrise en interne de l’authentification, tout en permettant un accès sécurisé non seulement à AWS, mais aussi à l’ensemble des applications SaaS hébergées sur AWS et gérées via IAM Identity Center.
La prise en charge d’AWS est incluse dans UserLock SSO. Voici comment le configurer :
Après avoir activé IAM Identity Center dans la console AWS et modifié la source d’identité pour un IdP externe, les administrateurs téléchargent le fichier XML des métadonnées UserLock SSO (
https://<your_ul_sso_url>/metadata).Dans la console UserLock, allez dans Single Sign-On → Configuration. Vous trouverez l’URL de l’émetteur AWS SSO et l’URL ACS AWS SSO dans la console IAM Identity Center pour la configuration SAML 2.0.
Mettez à jour le certificat SAML dans AWS SSO en téléchargeant les nouvelles métadonnées SAML dans AWS. Pour cela, accédez aux paramètres AWS SSO. Dans Identity Source, cliquez sur le bouton Change. Enfin, indiquez l’URL des métadonnées UserLock SSO dans IdP SAML metadata (
https://<your_ul_sso_url>/metadata).
Pour des instructions détaillées sur les options de configuration des métadonnées, consultez la documentation UserLock.
Si votre priorité est la sécurisation de l’accès aux comptes AWS uniquement, consultez notre guide détaillé sur UserLock SSO pour AWS.
Des milliers d’applications cloud fonctionnent sur AWS. Si votre organisation est hybride ou sur site, vous avez besoin d’une solution SSO qui simplifie l’accès sans sacrifier le contrôle sur l’authentification ni la conformité.
Votre infrastructure est probablement un mélange de plateformes cloud, d’applications SaaS et de systèmes locaux. Comme ce mélange fait exploser le nombre d’identifiants, le SSO permet de maîtriser une surface d’attaque qui, autrement, deviendrait ingérable et peu sûre.
Cependant, adopter le SSO suppose de choisir une plateforme IdP et de protéger l’identifiant utilisé pour y accéder avec la MFA. Ces exigences peuvent accroître le coût du SSO et créer une dépendance vis-à-vis d’IdP tiers difficile à concilier avec la souveraineté et la conformité des données en interne.
UserLock SSO offre un chemin simple vers le SSO à travers un seul serveur, qui permet d’éviter ces écueils. Vous pouvez continuer à utiliser votre infrastructure AD existante pour l’authentification, tout en protégeant l’accès SSO avec MFA et contrôle d’accès utilisateur. En prime, via UserLock SSO, l’accès single sign-on s’intègre à la connexion Windows, permettant aux employés de se connecter à tout avec un seul identifiant.