Un regard sur la gestion centralisée des identités

Voici le deuxième article de notre série "concepts que vous utilisez sans le savoir" . Cette fois, nous abordons la gestion des identités, et plus particulièrement la gestion centralisée des identités.

Lisez la suite pour savoir ce qu'est la gestion des identités, pourquoi l'IAM est devenu un outil si important dans le monde de l'informatique d'entreprise et quels sont les avantages d'une gestion centralisée des identités pour votre organisation.

Contenu

• Introduction à la gestion centralisée des identités
  • Qu'est-ce que la gestion de l'identité ?
  • Différence entre gestion d'identité décentralisée et centralisée
• Défis d'authentification
  • Visibilité des accès et des permissions
  • Embarquement et dé-provisionnement
  • Un accès cohérent
  • Comportement et fatigue des utilisateurs
• Pourquoi la gestion centralisée des identités fonctionne-t-elle ?
  • Avantages de la gestion centralisée de l'identité sur le plan de la convivialité
  • Avantages en matière de gestion et de sécurité
  • Orchestration basée sur la normalisation
  • Inconvénients de la gestion centralisée des identités
  • Interaction avec RBAC
• Configuration et supervision
• La gestion centralisée des identités est là pour rester

Introduction à la gestion centralisée des identités

Quelque part, d'une manière ou d'une autre, votre environnement technologique a besoin de la capacité d'authentifier les utilisateurs. Vous voulez empêcher les utilisateurs externes non autorisés d'entrer, tout en vous assurant que votre personnel n'a accès qu'à la sécurité et aux données dont il a besoin pour faire son travail.

Il existe différentes approches de la gestion des utilisateurs et des autorisations - certaines plus organisées que d'autres. Dans les environnements informatiques complexes des entreprises, il est indispensable d'adopter des approches structurées pour gérer les utilisateurs, les ressources et les autorisations. C'est pourquoi la gestion des identités et des accès a évolué.

Qu'est-ce que la gestion de l'identité ?

La gestion des identités est un cadre dans lequel une identité de sécurité est attribuée aux utilisateurs, aux dispositifs et aux autres ressources, et dans lequel des droits d'accès spécifiques sont attribués à chacune de ces identités. La gestion des identités est omniprésente - presque toutes les grandes organisations utilisent la gestion des identités et des accès pour autoriser les utilisateurs et contrôler l'accès aux systèmes de l'entreprise.

La gestion des identités vous donne la possibilité d'accorder aux utilisateurs l'accès aux ressources auxquelles ils ont droit, et ce de manière contrôlée et contextuelle. Chaque identité (ou utilisateur) se voit attribuer un ou plusieurs rôles, qui confèrent à l'identité des droits d'accès à un ensemble spécifique de ressources.

Différence entre gestion d'identité décentralisée et centralisée

La distinction entre décentralisé et centralisé est relativement simple. Dans le modèle décentralisé, il n'existe pas de lieu unique pour la gestion des identités. L'IAM s'effectue dans de nombreux environnements et applications différents, et un même utilisateur peut avoir plusieurs identités stockées dans différents magasins d'identité.

Un utilisateur devra se connecter à son espace de travail, en effectuant une étape d'authentification auprès d'un fournisseur d'identité à ce stade, mais il devra également se connecter à une application clé, en effectuant une autre étape d'authentification à ce moment-là.

Le modèle centralisé élimine les différents centres de gestion des identités. Au lieu de cela, les utilisateurs s'inscrivent auprès d'un fournisseur d'authentification unique qui propage ensuite les droits d'accès de l'identité à toutes les applications et ressources de l'organisation.

En pratique, cela signifie que l'utilisateur se connecte à un seul espace de travail et ne doit plus jamais se connecter à un autre service, car l'accès est accordé sur la base de ce premier et unique événement de connexion.

Défis d'authentification

Avant de nous pencher plus en détail sur la gestion des identités, commençons par avoir une vue d'ensemble des problèmes et des défis liés à l'authentification. Cela nous permettra de mieux comprendre pourquoi la gestion centralisée des identités est si souvent appliquée.

Visibilité des accès et des permissions

Tant du point de vue de la conformité que du dépannage, les organisations doivent savoir quels utilisateurs ont accès à quelles ressources et à quel moment. Cela vaut également pour les identités associées aux applications et aux services. Il peut être difficile de répondre à ces questions dans des environnements d'identité moins organisés et décentralisés.

En particulier, il devient très difficile d'auditer l'accès et le comportement des utilisateurs lorsque chaque application s'appuie sur un répertoire d'utilisateurs cloisonné. Bien qu'à l'échelle de l'entreprise, la plupart des organisations utilisent un annuaire central tel qu'Active Directory (peut-être via Azure AD), il arrive de plus en plus souvent que les utilisateurs s'inscrivent à des services en nuage qui ne sont pas liés au service d'annuaire établi de l'organisation, ce qui crée un environnement de permissions opaque.

Embarquement et dé-provisionnement

L'intégration rapide des nouveaux employés les aide à démarrer plus rapidement, mais l'intégration peut prendre beaucoup de temps si les administrateurs informatiques doivent naviguer fastidieusement dans plusieurs répertoires. Pire encore, avec les applications SaaS généralement déployées au niveau départemental - SaaS marketing pour les ventes, SaaS CRM pour le service client - l'onboarding peut consommer une quantité importante d'énergie en dehors du département informatique.

Si l'employé quitte l'entreprise, l'abandon ou le dé-provisionnement de son accès peut s'avérer difficile - et, en réalité, souvent incomplet. Le service informatique fera ce qu'il doit faire, en utilisant des outils automatisés pour déprovisionner les ressources de l'entreprise.

Cependant, lorsque l'accès est géré par des départements fonctionnels, cet accès peut rester actif, ce qui met l'organisation en danger, car une partie externe conserve l'accès aux applications. Imaginez le travail de nettoyage à effectuer si un utilisateur possède vingt connexions différentes - il s'agit essentiellement de vingt tâches de nettoyage, dont la responsabilité est répartie dans toute l'organisation.

Un accès cohérent

Avec des répertoires d'utilisateurs distribués et cloisonnés, un autre problème se pose : les répertoires ne sont inévitablement pas entièrement synchronisés. Les utilisateurs finissent par ne plus pouvoir accéder à certaines applications mais pas à d'autres.

Un fossé peut se creuser entre les applications en nuage et les applications sur site, par exemple, et les travailleurs à distance peuvent se retrouver dans l'impossibilité d'accéder à tout ce dont ils ont besoin pour leur travail - parce que leur emplacement hors site provoque une déconnexion.

Comportement et fatigue des utilisateurs

Enfin, l'un des plus grands défis de la gestion des identités réside dans le comportement des utilisateurs. Il s'agit d'un défi de taille : il n'est pas facile d'amener les utilisateurs à utiliser des mots de passe forts et uniques pour de nombreux points de connexion différents. Lorsque les utilisateurs se retrouvent avec de plus en plus d'identifiants, le risque de sécurité augmente - les utilisateurs sont plus susceptibles de choisir des mots de passe faciles à deviner et de réutiliser des mots de passe entre différents services.

Les utilisateurs en ont également assez d'essayer de jongler avec une liste interminable de noms d'utilisateur et de mots de passe, l'obligation de se connecter et de se déconnecter constamment des services étant tout aussi fastidieuse. Cela peut même conduire les utilisateurs à moins utiliser les services mis à leur disposition.

Pourquoi la gestion centralisée des identités fonctionne-t-elle ?

Il est clair que la gestion des identités et des accès pose de nombreux défis aux organisations. L'adoption d'une approche plus centralisée de la gestion des identités peut résoudre bon nombre de ces problèmes, mais elle présente également certains inconvénients.

Avantages de la gestion centralisée de l'identité sur le plan de la convivialité

Il est facile de voir les avantages de fournir aux utilisateurs un login unique pour accéder à tous les services de l'entreprise. Les employés ne doivent se souvenir que d'un seul ensemble d'informations d'identification, et l'authentification est automatique dans toutes les applications - il n'est pas nécessaire d'effectuer constamment des opérations de connexion pour accéder aux ressources.

La gestion centralisée des identités élimine bon nombre des frustrations liées à la gestion des accès et, par conséquent, réduit la tentation des employés d'essayer de contourner le contrôle d'accès, ce qui renforce la sécurité.

Avantages en matière de gestion et de sécurité

La gestion est également beaucoup plus facile, car l'intégration et le dé-provisionnement se font en une seule étape - il n'y a qu'un seul magasin d'identité qui s'étend à toute l'organisation. Lors de l'installation, les utilisateurs reçoivent instantanément l'accès à toutes les ressources auxquelles ils ont droit, et lors de leur départ, l'accès d'un employé est réduit de façon complète et détaillée.

L'application des politiques est également améliorée avec la gestion centralisée des identités, car il est beaucoup plus facile d'appliquer des mots de passe forts et une authentification multifactorielle lorsqu'une seule identité autorise l'accès à toutes les ressources.

En fait, une identité unique ouvre la voie à des mécanismes d'authentification à toute épreuve, comme la biométrie et les jetons physiques - des mécanismes qui ne seront pas acceptés par les utilisateurs s'ils sont nécessaires pour chaque ressource et chaque application.

Orchestration basée sur la normalisation

La gestion centralisée des identités est basée sur des normes. Par exemple, de nombreux fournisseurs de cloud computing s'appuient sur OAuth 2.0 - y compris, par exemple, Google, qui s'appuie sur ce protocole pour permettre l'authentification et l'autorisation à travers les applications cloud de Google - et à travers les applications de tiers.

D'autres normes d'identité centralisées offrent des fonctionnalités différentes. OpenLDAP, par exemple, fait office de service d'annuaire, tandis qu'OpenID se concentre sur l'authentification.

L'un des points essentiels d'une solution centralisée de gestion des identités est qu'elle offre aux organisations la possibilité de construire des architectures technologiques fluides et de pointe tout en maintenant des niveaux de sécurité élevés - et ce, grâce à la normalisation inhérente.

Une bonne solution IAM élimine donc les goulets d'étranglement en s'intégrant étroitement aux divers services et ressources basés sur le cloud. Il est donc également utile de considérer la gestion centralisée des identités sous l'angle de ses capacités d'orchestration, ce que vous ne pourrez pas faire avec une gestion décentralisée des identités.

Inconvénients de la gestion centralisée des identités

Les avantages de l'approche centralisée sont indiscutables - mais la gestion centralisée des identités a aussi ses détracteurs, et un magasin d'identités unique présente certains inconvénients.

L'inconvénient le plus inquiétant est peut-être que le fait de s'appuyer sur une seule identité - et un seul ensemble d'informations d'identification - crée un point de défaillance unique. Lorsqu'un attaquant peut compromettre ce point d'authentification unique, il peut automatiquement accéder à toutes les ressources auxquelles l'utilisateur a accès, dans toute l'organisation. Cela dit, le risque que cela se produise peut être atténué en s'appuyant sur des protocoles d'authentification forte pour cette identité unique.

Un autre problème lié à la gestion centralisée des identités est que l'intégration des applications peut s'avérer difficile, en particulier lorsqu'il existe un mélange d'applications patrimoniales et sur site travaillant à côté d'applications hébergées dans le nuage. Lorsqu'une seule application existante n'est pas conforme aux normes IAM ou lorsque l'intégration et la personnalisation ne sont pas possibles, cela génère instantanément le besoin d'un ensemble supplémentaire d'identités.

Toute modification de l'architecture applicative sous-jacente peut également provoquer des problèmes d'authentification inattendus, déconnectant soudainement des milliers d'utilisateurs d'une ressource clé.

Interaction avec RBAC

La gestion centralisée des identités fournit une formidable plate-forme pour un contrôle d'accès transparent basé sur les rôles (RBAC). Avec le RBAC, les organisations peuvent mettre en place différentes politiques pour répondre à des fonctions professionnelles spécifiques - en spécifiant les droits d'accès dont dispose un employé en fonction de son rôle dans l'organisation.

Ces politiques sont ensuite publiées sur la plateforme centralisée de gestion des identités et des accès, qui fournit un point de contrôle unique automatisant la gestion des accès et des identités sur la base des paramètres spécifiés dans les politiques RBAC.

Configuration et supervision

Pour terminer, il est important de comprendre que la gestion centralisée des identités nécessite une supervision très forte. Elle nécessite une approche architecturale pour être mise en place - avec un processus de conception et de planification complet.

Un référentiel d'identité central mal structuré peut finir par être inadapté. De même, votre ensemble d'outils de gestion centralisée des identités doit être conçu en tenant compte de la flexibilité - et de l'avenir - afin de ne pas vous retrouver dans une situation où les utilisateurs seraient de toute façon obligés de gérer plusieurs identités.

La sécurité est une autre préoccupation. Les RSSI sont étroitement associés à la gouvernance des solutions de gestion des identités et des accès, car la sécurité ne peut être assurée que par des contrôles stricts et des politiques rigoureusement appliquées. En effet, le personnel informatique de niveau C sera étroitement impliqué dans l'orientation de la mise en place et de l'utilisation de la gestion centralisée des identités - tout en assurant une surveillance continue pour garantir la conformité - et pour repérer les risques potentiels.

La gestion centralisée des identités est là pour rester

Dans un monde de plus en plus centré sur le cloud, un magasin d'identité central et sécurisé offre des avantages importants - permettant aux organisations de déployer de manière fluide des applications dans l'ensemble de leur parc technologique tout en appliquant des normes de sécurité cohérentes.

D'une certaine manière, si votre entreprise utilise des applications en nuage de pointe, il est probable que vous utilisiez déjà le logiciel d'un fournisseur IAM, même s'il s'agit du choix par défaut fourni avec le logiciel de productivité en nuage de votre entreprise.

Néanmoins, la gestion centralisée des identités présente quelques difficultés qu'il convient de garder à l'esprit, la plus importante étant sa faiblesse en tant que point de défaillance unique. Une identité unique sous-tend tous les accès, ce qui signifie qu'elle doit être contrôlée et surveillée de près.

Cependant, tant que les organisations utilisent des méthodes d'authentification forte, les avantages de la gestion centralisée des identités l'emportent largement sur les faiblesses, une approche centralisée rendant la gestion des identités d'autant plus rapide.