Les meilleures solutions de gestion des identités pour 2020

03fagvyxy6enjfb46spdfv4-1-fit_lim-size_1200x630-v_1569492697-5175064-jpg

Comment choisir la bonne entreprise

Qu’est-ce que la gestion des identités (IDM)?

La croissance explosive du cloud et, en particulier, des applications SaaS (Software-as-a-Service), comme celles qui deviennent populaires dans le domaine de la collaboration ou de la gestion de projet, a changé la façon dont les entreprises font des affaires. Le déploiement de logiciels en tant que service géré via le cloud signifie des coûts de maintenance réduits, une disponibilité accrue, un déploiement plus rapide des fonctionnalités et un besoin réduit de matériel sur site. Ce ne sont que quelques-unes des raisons pour lesquelles les solutions SaaS basées sur le cloud font une percée rapide et profonde vers des tâches qui étaient auparavant dominées uniquement par le personnel informatique interne.

Mais pour réaliser pleinement les économies offertes par les applications SaaS, les entreprises ont besoin d’un moyen de créer et de gérer facilement des utilisateurs (alias, identités) sur l’ensemble de leur portefeuille d’applications cloud – des portefeuilles qui couvrent généralement plusieurs plates-formes et peuvent changer souvent. Les administrateurs informatiques doivent offrir aux utilisateurs une fonction d’authentification unique (SSO) sur l’ensemble du portefeuille d’applications de l’organisation, mais ce n’est qu’une partie du problème. Le contrôle de la profondeur d’accès dans les applications SaaS est tout aussi important que pour les applications sur site et même les ressources du réseau local. Donc, pas seulement qui a accès à l’application, mais exactement à quoi ils peuvent accéder une fois qu’ils utilisent cette application. Cela peut être critique dans de nombreuses applications d’entreprise, tout comme la définition du rôle de l’utilisateur, l’authentification inter-applications et des mesures de sécurité plus avancées telles que l’authentification multifacteur (MFA), qui fait référence à la création de mécanismes d’authentification qui nécessitent plus qu’une simple étape. , comme la saisie d’un nom d’utilisateur et d’un mot de passe, mais nécessitent également des étapes supplémentaires, telles qu’un jeton physique quelconque (une carte à puce ou une clé USB, par exemple) ou une mesure biométrique (un balayage d’empreintes digitales, par exemple).

La gestion des fournisseurs d’identité existants (IDP) tels que Microsoft Active Directory (AD) ou les logiciels de ressources humaines (HR) est tout aussi importante. Dans de nombreux cas, les informations d’identité peuvent provenir de plusieurs référentiels, ce qui oblige un système à gérer non seulement les identités dans différents systèmes, mais également à synchroniser les informations entre ces systèmes et à fournir une seule source de vérité si nécessaire. C’est particulièrement important maintenant que l’Internet des objets (IoT) commence vraiment à se développer. Une gamme toujours plus large d’appareils IoT signifie non seulement plus de trafic, mais aussi plus de demandes d’accès autorisé dans les deux sens. C’est probablement la raison pour laquelle l’identité et la sécurité sont devenues l’un des principaux facteurs de croissance de l’IoT au cours des dernières années, comme le montre ce graphique de la société d’études de marché Statista.

Taille du marché des applications IoT, 2020 (milliards d’euros)

IoT Application Market 2020 Statista Business Team

Pour que tout cela se produise, les administrateurs doivent pouvoir gérer les utilisateurs dans un environnement en évolution rapide sans avoir à effectuer manuellement des actions qui, depuis des décennies, se sont résumées à de simples modifications des propriétés d’appartenance au groupe d’un utilisateur dans Microsoft AD. Le fait de devoir ajuster manuellement les autorisations, l’accès et le contrôle des propriétés sur des dizaines, des centaines, voire des milliers d’utilisateurs chaque fois qu’un nouveau service SaaS est disponible peut être extrêmement lourd, même si le service informatique tire parti des technologies d’automatisation telles que les scripts. Les solutions de gestion des identités en tant que service (IDaaS) deviennent rapidement un aspect essentiel de l’infrastructure d’entreprise, pour une multitude de raisons que nous détaillerons au cours de cet article. Ironiquement, la réponse idéale à ce problème, au moins en partie, est peut-être de bien puiser dans le SaaS et d’utiliser un fournisseur IDaaS.

Connecter les identités dans le cloud

La plupart des fournisseurs IDaaS utilisent une méthode commune pour gérer l’authentification en utilisant les identités contenues dans l’annuaire réseau existant de votre organisation. L’option la plus courante consiste à installer un logiciel sur votre réseau local, appelé agent, qui permet au fournisseur IDaaS de communiquer avec votre annuaire. De cette façon, les administrateurs peuvent continuer à utiliser les mêmes outils d’annuaire qu’ils ont toujours, tout en accédant de manière transparente aux applications et aux ressources en dehors du réseau de l’entreprise.

Cette communication est généralement une combinaison de synchronisation (où les utilisateurs et les groupes d’annuaire sont attirés vers le service) et de communication à la demande (connue sous le nom de fédération) afin d’effectuer des demandes d’authentification par rapport à l’annuaire. La plupart des solutions IDaaS offrent la possibilité de personnaliser le processus de synchronisation, en particulier les attributs utilisateur autorisés à être synchronisés. Deux raisons pour lesquelles vous souhaitez personnaliser la synchronisation des attributs sont liées à la sécurité ou à la confidentialité (par exemple, si vous avez des attributs qui peuvent contenir des données confidentielles) ou en raison de fonctionnalités (par exemple, si vous devez mettre des attributs personnalisés à la disposition de l’IDaaS pour les utiliser dans le cadre du service).

Une autre méthode courante de connexion de votre annuaire local avec une solution IDaaS consiste à exposer un protocole d’annuaire standard ou un fournisseur d’authentification à l’IDaaS. Quelques exemples de cela sont le protocole LDAP (Lightweight Directory Access Protocol), un standard ouvert, ou les services ADFS (Active Directory Federation Services), une technologie populaire mais propriétaire disponible auprès de Microsoft et populaire en raison de son intégration facile avec le très populaire Active Directory de Microsoft. LDAP est une méthode basée sur des normes de communication avec un annuaire (AD ou l’une des alternatives) tandis que ADFS est un rôle dans Windows Server davantage conçu pour permettre aux applications Web de glaner des informations spécifiques d’AD. Tous les fournisseurs IDaaS ne prennent pas en charge ces options et, dans la plupart des cas, ces options nécessitent un niveau de configuration élevé, y compris des règles de pare-feu.

Mais ces options peuvent être une meilleure solution pour certaines analyses de rentabilisation. Par exemple, les organisations ayant des exigences de sécurité ou des réglementations de confidentialité accrues peuvent avoir besoin de limiter le logiciel installé sur les contrôleurs de domaine ou d’avoir un contrôle accru sur les données disponibles pour une solution IDaaS externe qui s’exécute essentiellement sur les serveurs de quelqu’un d’autre.

Connexion avec les clients et partenaires

Une entreprise ne vaut pas grand-chose sans relations avec des partenaires et, surtout, des clients. À l’ère de la technologie et de la gratification instantanée, la capacité de collaborer avec des partenaires ou de fournir aux clients l’accès à leurs informations, tout en respectant simultanément leur vie privée et leur sécurité, est un aspect essentiel de la conduite des affaires. De nombreuses solutions IDaaS que nous avons examinées offrent la possibilité de fournir aux partenaires commerciaux un accès SSO aux applications via un portail fonctionnellement identique à celui disponible pour les utilisateurs d’entreprise normaux. Cela permet à votre entreprise de favoriser les relations commerciales sans avoir à fournir automatiquement aux partenaires un accès direct à votre réseau d’entreprise ou même à créer une nouvelle application spécifiquement pour l’accès des partenaires.

La gestion de la clientèle est un autre domaine dans lequel les solutions IDaaS peuvent offrir de la valeur. La plupart des clients ont déjà une ou plusieurs identités établies sur les réseaux sociaux ou d’autres sites Web populaires. De nombreuses solutions que nous avons examinées offrent un aspect IDaaS grand public, qui est généralement concédé sous licence séparément du produit IDaaS principal en raison du potentiel d’un volume élevé d’authentifications. En règle générale, un IDaaS consommateur permettra à un utilisateur de s’inscrire en utilisant un compte qu’il possède déjà, comme un compte Facebook ou Google, qui lui donnera alors accès aux ressources que vous autorisez. Selon le cas d’utilisation de votre entreprise, ce processus d’authentification pourrait permettre aux utilisateurs d’accéder à une application Web personnalisée conçue pour fournir des informations qui leur sont spécifiques, ou les utilisateurs pourraient être redirigés vers l’espace client d’une solution de gestion de la relation client (CRM). Dans la plupart des cas, la plate-forme IDaaS vous donne des options sur le traitement de la demande d’authentification, ce qui vous permet d’utiliser un protocole standard ou de fournir une interface de programmation d’application (API) pour les développeurs d’accéder via un code personnalisé.

Augmenter l’infrastructure existante

Dans de nombreux cas, une solution IDaaS peut apporter des avantages significatifs à votre infrastructure existante en plus des avantages inhérents offerts par l’utilisation d’applications cloud. Un avantage majeur est évident: la gestion des identités. Plus une entreprise est grande, plus il y a d’identités à gérer et, souvent, ces identités commencent à résider à plusieurs endroits. Il existe souvent des applications logicielles qui gèrent les employés, leur rémunération et leur structure organisationnelle. De même, un ou plusieurs répertoires d’entreprise contiennent souvent des informations similaires. Les entreprises ayant plusieurs intérêts commerciaux ou succursales peuvent souvent avoir besoin de magasins d’identité distincts; de même, les entreprises (comme les hôpitaux ou les complexes industriels) peuvent souvent également exiger la séparation des ressources du réseau pour des raisons de conformité ou de sécurité.

Une solution IDaaS peut faciliter la gestion de ces identités dans plusieurs emplacements sources, notamment en fournissant des capacités en libre-service, la délégation, les flux de travail d’approbation et l’automatisation. Chacune de ces fonctionnalités peut également fournir un élément de journalisation à des fins de reporting et d’audit de conformité. Dans de nombreux cas, l’application IDaaS peut également fournir des capacités de synchronisation ou de traduction avec automatisation, ce qui vous permet de gérer une identité une fois et de transférer ces modifications vers d’autres systèmes, le cas échéant.

Les applications IDaaS peuvent également aider votre infrastructure existante avec des applications hébergées sur le réseau local. Dans de nombreux cas, ces applications sont au cœur des activités de l’entreprise, et l’accès aux utilisateurs hors site nécessite soit d’exposer l’application à Internet avec une règle de pare-feu, soit de demander à l’utilisateur de se connecter à un tunnel de réseau privé virtuel (VPN). Alors que l’un ou l’autre de ces scénarios a sa place et convient parfaitement à de nombreuses situations, certains outils IDaaS offrent une autre option. En utilisant un agent logiciel installé à l’intérieur du réseau d’entreprise, une application est accessible via un portail SSO IDaaS de la même manière qu’une application SaaS hébergée dans le cloud. La plupart des tâches lourdes dans ce scénario sont gérées par un tunnel crypté entre le fournisseur IDaaS et l’agent logiciel installé sur votre réseau.

Considérations sur la sécurité IDM

De toute évidence, il existe un certain nombre de problèmes de sécurité pour les magasins informatiques souhaitant utiliser des applications SaaS et des solutions IDaaS. Dans certaines situations, il est presque impossible d’éviter l’utilisation d’applications SaaS, il est donc impératif de trouver la meilleure méthode pour gérer et sécuriser les comptes nécessaires à l’utilisation de ces applications. D’autres organisations peuvent ne pas considérer les applications SaaS par nécessité, donc les problèmes de sécurité doivent être mis en balance avec la commodité et l’efficacité.

Dans l’ensemble, il y a quatre principaux domaines de sécurité à considérer lors de l’évaluation des fournisseurs IDaaS. La méthode de connexion utilisée pour intégrer un annuaire d’entreprise existant est le premier domaine à considérer. Les agents de synchronisation basés sur logiciel prennent en charge une connexion sécurisée entre votre annuaire et le fournisseur IDaaS, mais de nombreux magasins informatiques hésiteront (à juste titre) à installer un agent sur leurs contrôleurs de domaine. Envisager une solution IDaaS prenant en charge une norme d’authentification telle que LDAP ou ADFS pourrait être une meilleure option car ils offrent un contrôle accru sur l’authentification et la sécurité.

Le deuxième domaine de préoccupation pour les entreprises qui envisagent tout type de service cloud est les données stockées dans le service qui, dans le cas d’une solution IDaaS, seront des utilisateurs et des groupes d’entreprise. En général, les solutions IDaaS ne synchronisent pas et ne stockent pas les hachages de mot de passe de vos utilisateurs; cependant, plusieurs fournisseurs IDaaS proposent cette option afin de conserver les mêmes mots de passe entre plusieurs comptes (répertoire local, IDaaS et même applications SaaS). Ces options doivent être soigneusement évaluées du point de vue de la sécurité et du point de vue juridique. De plus, chacun des fournisseurs IDaaS doit stocker les mots de passe liés aux applications SaaS afin d’exécuter la fonctionnalité SSO.

Troisièmement, considérez la communication entre votre fournisseur IDaaS et l’ensemble de votre portefeuille d’applications SaaS. Sans exception, les options IDaaS testées ici utilisent une combinaison de SAML (Security Assertion Markup Language) et de la mise en chambre forte des mots de passe. SAML est une norme d’authentification basée sur un langage de balisage extensible (XML) par laquelle le fournisseur d’identité et l’application SaaS peuvent gérer l’authentification, sans nécessiter d’interaction d’un utilisateur ou de la population d’un formulaire Web. La capacité d’un fournisseur IDaaS à authentifier vos utilisateurs auprès de leurs applications SaaS dépend de l’application SaaS pour prendre en charge la norme SAML pour l’authentification. Dans les cas où SAML n’est pas pris en charge par une application SaaS, la plupart des fournisseurs IDaaS reviendront au coffre-fort de mot de passe, qui gère essentiellement le processus de remplissage et de soumission d’un formulaire de connexion sur une page Web.

En termes de sécurité, SAML peut offrir une sécurité accrue sous la forme d’une connexion authentifiée mutuellement grâce à l’utilisation de certificats SSL liant les deux services. Comme avec SAML lui-même, ces fonctionnalités de sécurité supplémentaires dépendent de la prise en charge du fournisseur SaaS et IDaaS. Pour ma part, j’étiquette SAML comme méthode d’authentification préférée pour l’authentification unique à partir d’un fournisseur IDaaS; en fait, je dirais que vous ne devriez probablement même pas envisager une solution qui ne tire pas parti de cette norme.

Le dernier aspect critique de l’image de sécurité IDaaS est le verrouillage du processus de connexion pour les utilisateurs. Une caractéristique commune à tous les lecteurs IDaaS est la prise en charge de MFA, qui aide à prévenir les violations de sécurité dues à un mot de passe compromis en exigeant une deuxième forme (plusieurs facteurs) d’authentification, comme un mot de passe généré de manière aléatoire ou une clé matérielle.

Un autre scénario courant consiste à exiger différents niveaux de sécurité en fonction de l’emplacement réseau de l’utilisateur (généralement géré en fonction de l’adresse IP), comme autoriser un nom d’utilisateur ou un mot de passe de connexion de base lors de la connexion via le réseau d’entreprise, mais nécessitant l’authentification MFA lors de l’utilisation d’une autre connexion. En général, les restrictions MFA et d’adresses IP sont gérées à l’aide de stratégies de sécurité, qui est une autre fonctionnalité indispensable pour un fournisseur IDaaS. En fait, vous souhaitez probablement rechercher une option qui vous permet de configurer plusieurs stratégies car toutes les applications ou tous les utilisateurs n’ont pas les mêmes besoins de sécurité.

Authentification unique

Du point de vue des utilisateurs, l’objectif principal d’une solution IDaaS est de faciliter la connexion aux applications Web. Un portail utilisateur qui fournit un accès SSO rapide aux applications SaaS est une fonctionnalité de la majorité des options IDaaS. La plupart des solutions proposent également des plug-ins pour les principaux navigateurs Web ainsi que des applications mobiles qui reflètent les fonctionnalités du portail SSO.

Dans la plupart des cas, le portail utilisateur est présenté sous la forme d’une grille ou d’une liste d’icônes indiquant les applications disponibles pour un utilisateur. Cette liste est remplie en fonction des applications SaaS attribuées à l’utilisateur par les administrateurs IDaaS, manuellement ou par des moyens automatisés tels que l’appartenance à un groupe AD. La méthode de provisioning idéale en termes d’efficacité est basée sur le système de gestion des identités interdomaines (SCIM), un ensemble d’interfaces basées sur des normes qui permettent le provisionnement des utilisateurs dans les applications SaaS, bien que de nombreux fournisseurs IDaaS utilisent des applications spécifiques à l’application. interfaces de programmation d’applications (API) pour gérer l’approvisionnement. S’ils sont pris en charge par le fournisseur IDaaS et SaaS, les utilisateurs peuvent être automatiquement provisionnés dans l’application SaaS en fonction des conditions que vous définissez dans la solution IDaaS. Souvent, cette condition est simplement l’appartenance à un groupe AD ou basée sur un attribut de votre choix.

Big Data, conformité et reporting

Avouons-le: de nombreuses entreprises n’investiront pas dans un outil simplement parce qu’il facilite la vie de leurs utilisateurs. Mais s’il y a un avantage pour la sécurité ou si la solution peut aider à satisfaire aux exigences de conformité, alors c’est une autre histoire.

Envisagez un scénario dans lequel une équipe d’administration informatique doit non seulement gérer les utilisateurs de plusieurs applications SaaS, mais doit également fournir des rapports détaillés contenant des informations sur l’utilisation, l’historique des connexions des utilisateurs, les modifications de sécurité et d’autres facteurs d’audit potentiels. Essayer de rassembler ce type d’informations à partir de plusieurs endroits différents va être une tâche importante. La solution idéale pour rassembler et fournir ces artefacts d’audit est d’utiliser IDM pour suivre automatiquement chaque facteur sur plusieurs applications. De nombreuses offres que nous avons examinées offrent des solutions de reporting complètes qui détaillent les événements d’authentification, même en fonction de l’emplacement géographique de l’utilisateur et du type d’appareil qu’il a utilisé. Souvent, ces rapports peuvent être exportés vers Microsoft Excel ou un autre outil de reporting ou de Business Intelligence (BI) où vous pouvez effectuer une analyse approfondie ou obtenir les nombres correctement organisés pour un audit.

Certaines des solutions que nous avons examinées surveilleront même de manière proactive l’exposition de vos identités aux failles de sécurité actuelles, telles que les informations d’identification à vendre sur Internet ou surveiller des choses telles que les connexions simultanées à partir des extrémités opposées du globe. Ces solutions peuvent utiliser ce type d’analyse avancée et d’apprentissage automatique pour avoir un impact sur le score de sécurité de vos identités. Cela vous donne le pouvoir d’exiger une sécurité d’authentification accrue telle que MFA ou l’utilisation d’un appareil enregistré.

Ne laissez pas le cloud vous ex-SaaS pérer

Les applications SaaS offrent simplement trop d’avantages en termes d’économies et de facilité d’utilisation pour que toute entreprise ignore la tendance. Mais, sans organisations d’utilisateurs et de ressources appropriées, un portefeuille SaaS peut rapidement s’étendre et dégénérer en un désordre chaotique. Comprendre les solutions IDaaS et ce qu’elles peuvent offrir est une grande première étape vers l’obtention de tous les avantages du transfert des charges de travail clés vers le SaaS, plutôt que d’assumer la charge de gérer des identités distinctes pour chaque utilisateur sur une demi-douzaine d’applications cloud dispersées sur le Web. Si le SaaS est à votre horizon (ou déjà sur les postes de travail de vos utilisateurs en nombre croissant comme dans la plupart des organisations), faites-vous plaisir et découvrez les avantages et les inconvénients des identités basées sur le cloud.