La mise en œuvre du fournisseur d’identité et de la fonctionnalité de SSO (Single Sign-On) constitue une étape essentielle dans l'amélioration de la gestion des identités numériques et de l'expérience utilisateur au sein des établissements. La fonctionnalité de SSO adossée au fournisseur d’identité permet aux professionnels de santé d'accéder à l'ensemble des services numériques de leur structure à partir d'une authentification initiale unique. Cela simplifie les usages quotidiens tout en assurant un haut niveau de sécurité.
La phase HospiConnect Alpha a permis d'observer différentes approches, contraintes techniques et ajustements mis en œuvre par les lauréats.
Mise en œuvre technique du webSSO
- Scénarios d’usage spécifiques : cas des postes kiosques.
- Cas des sessions virtualisées : enjeu de propager l’authentification entre le poste physique et la session virtualisée.
- Ateliers avec les fournisseurs de solution pour tenir compte d’éventuelles spécificités. La mise en place d’échanges réguliers avec les éditeurs, dès le début du projet, s’est révélée primordiale pour assurer un déroulement fluide du projet.
- …
Adaptations liées aux moyens d’identification électronique (MIE)
- Gestion de l’authentification via Pro Santé Connect
- Gestion d’un mode d’authentification MiFare DESFire avec remplacement du code PIN par le mot de passe AD du l’utilisateur.
Utilisation de solutions transitoires (eSSO)
- eSSO comme étape intermédiaire : plusieurs établissements ont recours à un eSSO pour les solutions non encore compatibles avec OIDC.
Méthodologie de déploiement
- Phase de tests : la majorité des projets ont inclus une phase pilote sur des postes ou environnements restreints afin de valider la fiabilité des solutions avant leur généralisation.
Améliorations apportées à l’expérience utilisateur
- Authentification fluide : les configurations permettant une authentification primaire au poste de travail en 2FA offrent une expérience plus intuitive et rapide aux utilisateurs.
- Maintien de l’autonomie locale : les modes d’authentification ne nécessitant pas un accès à internet pour fonctionner assurent une continuité du service en cas de coupure des accès externes.
- Déconnexion : les modalités de déconnexion de l’utilisateur doivent être prises en compte. Il est possible d’envisager des optimisations du délai de déconnexion automatique de la session nominative en cas d’inactivité lorsque les modalités d’ouverture de session sont simplifiées.