Atteindre l'agilité : Services de la Fédération d'identification

À l’époque (je parle ici de 2003, donc bien loin dans l’ère technologique), beaucoup d’espoirs et de rêves pour une expérience de gestion des identités plus transparente étaient grands. C'est à cette époque que le langage SAML (Security Assertion Markup Language) est devenu à la mode et a commencé à être largement utilisé dans la fourniture d'identité, en particulier pour la mise en œuvre de solutions d'authentification unique (SSO).

La grande préoccupation à l’époque concernait les comptes orphelins et la simplification de la gestion des mots de passe. Si vous vous en souvenez, c'était l'ère de la Webification et de la SOA, lorsque tout était transformé en application Web. Il était donc logique d’utiliser une norme Web native pour aider à relever les défis de gestion des identités.

Il s’avère que cela a du sens maintenant aussi.

Après tout, tout aujourd’hui est en train d’être « nébulisé ». C’est en fait une façon simple de dire que toutes vos applications Web se déplacent là-bas, dans le « cloud ». Les défis liés à l’approvisionnement et à la gestion (et à la prévention des comptes orphelins ou des accès non autorisés) ne se concentrent désormais plus uniquement sur les systèmes internes, mais également sur les systèmes hébergés en externe (basés sur le cloud).

Et cela est confirmé par les résultats de notre enquête 2016 sur l’état de la fourniture des applications . Lorsque nous avons demandé aux répondants quels étaient les défis auxquels ils étaient confrontés avec les environnements cloud hybrides (multi) les deux principales réponses étaient le manque d'analyses pour aider à déterminer où héberger une application donnée (29 %) et l'absence d'identification d'une solution complète de gestion des identités (29 %). C’est peut-être pour cette raison qu’en tête des services dont le déploiement est prévu en 2016 se trouve, roulement de tambour s’il vous plaît, la fédération d’identité (26 %). 

La fédération d'identité est en réalité la maturation (ou l'évolution) des solutions conçues pour prendre en charge le provisionnement, l'audit et la gestion automatisés des identités au sein de l'entreprise pour inclure les systèmes externes (hors site, cloud). La solution repose sur une « source d’identité faisant autorité », un peu comme le DNS, par rapport à laquelle les identités spécifiques aux applications peuvent être régies. Cette source est presque toujours sur site, car il s’agit du magasin d’identités d’entreprise (faisant autorité).

La fédération d’identité tire ensuite parti de SAML pour servir d’intermédiaire entre les applications hors du contrôle de l’informatique, comme le SaaS. Le service ID Federation sert d'intermédiaire entre les utilisateurs et les applications auxquelles ils souhaitent accéder et garantit que lorsque Bob tente d'accéder à Office 365, son identité est toujours valide et autorisée à accéder à l'application. Dans le cas contraire, REFUSÉ. Sinon, vous pouvez être sûr qu'une autre présentation Power Point arrivera bientôt dans votre boîte de réception.

Selon Osterman Research , le service informatique n'est pas conscient de la nécessité de déprovisionner un compte pendant 9 jours après qu'un utilisateur a quitté l'organisation . En moyenne, ils ont constaté que 5 % des utilisateurs d’Active Directory ne sont plus employés par l’organisation. Et n'ignorez pas non plus la partie « autorisée », car c'est une activité risquée étant donné que la même recherche a révélé que 19 % des employés changent de rôle ou de responsabilités chaque année, ce qui peut modifier leur niveau d'accès.

Les services ID Federation peuvent également fournir des fonctionnalités SSO. Par exemple, je peux me connecter à notre portail distant (F5), me connecter une fois, puis, grâce à la magie des services de fédération d'ID, lancer automatiquement un certain nombre d'applications Web différentes, certaines sur site et d'autres SaaS. Je me connecte une fois et je n’ai plus à m’en soucier.

Et le service informatique non plus, car il vérifie mon rôle, mes niveaux d’accès et ma validité par rapport à la source faisant autorité. Il est toujours à jour – pas 9 jours plus tard – car les modifications n’ont pas besoin de se propager via un processus manuel ou assisté par le Web. Cela signifie des améliorations de productivité non seulement pour moi mais aussi pour les pauvres informaticiens qui, autrement, resteraient assis toute la journée à vérifier les modifications à l'aide d'une feuille de calcul Excel que quelqu'un chez SaaS-1 et SaaS-2 leur aurait envoyée par e-mail plus tôt dans la journée. Et oui, c’est ainsi que cela fonctionnait avant que SAML ne devienne la norme de facto pour la fédération d’identifiants des SaaS de classe entreprise.

Mais ne vous laissez pas décourager en pensant que SAML est uniquement destiné aux applications « utilisateur » comme DropBox, SFDC et Office 365. C'est également un outil très précieux pour gérer les systèmes basés sur le cloud auxquels le service informatique a accès. Considérez, par exemple, que vous avez des personnes qui gèrent des instances, des accès et des services dans AWS. Cela se produit (le plus souvent) via le portail de gestion AWS. Un portail qui peut être gouverné via un service de fédération d'ID .

Les mêmes raisons pour lesquelles vous souhaiteriez gérer l’accès à Office 365 à partir d’une source centralisée et faisant autorité s’appliquent également à la gestion de l’accès aux systèmes qui gèrent votre infrastructure cloud. Vous ne voulez pas que les personnes qui ne sont plus employées aient accès à ce système, ni attendre 9 jours avant que l’accès soit résilié. Éliminer les risques et améliorer le flux de travail de provisionnement grâce à l'intégration et à l'automatisation via SAML, c'est comme une vente BOGO (achetez-en un, recevez-en un) dans votre magasin préféré.

Les services ID Federation améliorent non seulement la productivité et réduisent les risques, mais peuvent également réduire les coûts d'exploitation en éliminant le besoin d'exécuter des processus manuels coûteux (qui nécessitent une surveillance) chaque fois que quelqu'un quitte l'entreprise ou change de rôle/responsabilité.

Cette capacité améliore en fin de compte l’agilité, ce qui signifie que l’informatique est mieux à même de s’adapter, de soutenir et de permettre les initiatives commerciales. Lorsque l’informatique n’est plus liée à de longs processus manuels ou à des intégrations personnalisées, elle peut modifier les systèmes avec plus de facilité et de rapidité et garantir la cohérence dans l’application des politiques sans avoir à franchir de nombreux obstacles. Cela signifie que les entreprises peuvent migrer, ajouter et supprimer des systèmes et des applications selon leurs besoins sans être gênées par la nécessité pour le service informatique de « connecter » manuellement tous les éléments mobiles nécessaires pour garantir la conformité et l’accès.

Les services de fédération d'ID sont de plus en plus précieux en tant qu'outil non seulement pour faciliter la vie des utilisateurs avec SSO et l'accès fédéré, mais également pour améliorer l'agilité, réduire les risques et diminuer les coûts d'exploitation associés à la gestion du nombre croissant d'applications que nous devons utiliser chaque jour sur site et dans le cloud.

Vous avez envie d’approfondir les détails de SAML ? Découvrez cette leçon Lightboard sur SAML de notre propre John Wagnon .