À l’époque (je parle ici de 2003, donc bien loin dans l’ère technologique), beaucoup d’espoirs et de rêves pour une expérience de gestion des identités plus transparente étaient grands. C'est à cette époque que le langage SAML (Security Assertion Markup Language) est devenu à la mode et a commencé à être largement utilisé dans la fourniture d'identité, en particulier pour la mise en œuvre de solutions d'authentification unique (SSO).
La grande préoccupation à l’époque concernait les comptes orphelins et la simplification de la gestion des mots de passe. Si vous vous en souvenez, c'était l'ère de la Webification et de la SOA, lorsque tout était transformé en application Web. Il était donc logique d’utiliser une norme Web native pour aider à relever les défis de gestion des identités.
Il s’avère que cela a du sens maintenant aussi.
Après tout, tout aujourd’hui est en train d’être « nébulisé ». C’est en fait une façon simple de dire que toutes vos applications Web se déplacent là-bas, dans le « cloud ». Les défis liés à l’approvisionnement et à la gestion (et à la prévention des comptes orphelins ou des accès non autorisés) ne se concentrent désormais plus uniquement sur les systèmes internes, mais également sur les systèmes hébergés en externe (basés sur le cloud).
Et cela est confirmé par les résultats de notre enquête 2016 sur l’état de la fourniture des applications . Lorsque nous avons demandé aux répondants quels étaient les défis auxquels ils étaient confrontés avec les environnements cloud hybrides (multi) les deux principales réponses étaient le manque d'analyses pour aider à déterminer où héberger une application donnée (29 %) et l'absence d'identification d'une solution complète de gestion des identités (29 %). C’est peut-être pour cette raison qu’en tête des services dont le déploiement est prévu en 2016 se trouve, roulement de tambour s’il vous plaît, la fédération d’identité (26 %).
La fédération des identités marque l’étape avancée des solutions permettant d’automatiser le provisionnement, l’audit et la gestion des identités au sein de l’entreprise, incluant les systèmes externes (hors site, cloud). Nous nous appuyons sur une « source d’identité faisant autorité », à l’image du DNS, pour gérer les identités spécifiques aux applications. Cette source se trouve presque toujours sur site, puisqu'elle constitue le référentiel d’identité corporate (faisant autorité).
La fédération d’identité tire ensuite parti de SAML pour servir d’intermédiaire entre les applications hors du contrôle de l’informatique, comme le SaaS. Le service ID Federation sert d'intermédiaire entre les utilisateurs et les applications auxquelles ils souhaitent accéder et garantit que lorsque Bob tente d'accéder à Office 365, son identité est toujours valide et autorisée à accéder à l'application. Dans le cas contraire, REFUSÉ. Sinon, vous pouvez être sûr qu'une autre présentation Power Point arrivera bientôt dans votre boîte de réception.
Selon Osterman Research , le service informatique n'est pas conscient de la nécessité de déprovisionner un compte pendant 9 jours après qu'un utilisateur a quitté l'organisation . En moyenne, ils ont constaté que 5 % des utilisateurs d’Active Directory ne sont plus employés par l’organisation. Et n'ignorez pas non plus la partie « autorisée », car c'est une activité risquée étant donné que la même recherche a révélé que 19 % des employés changent de rôle ou de responsabilités chaque année, ce qui peut modifier leur niveau d'accès.
Les services ID Federation peuvent également fournir des fonctionnalités SSO. Par exemple, je peux me connecter à notre portail distant (F5), me connecter une fois, puis, grâce à la magie des services de fédération d'ID, lancer automatiquement un certain nombre d'applications Web différentes, certaines sur site et d'autres SaaS. Je me connecte une fois et je n’ai plus à m’en soucier.
Le service informatique non plus, car il vérifie mon rôle, mes niveaux d’accès et leur validité directement auprès de la source officielle. Les données sont toujours à jour — pas neuf jours plus tard — puisque les modifications ne passent pas par un processus manuel ou assisté en ligne. Cela améliore la productivité, pas seulement pour moi, mais aussi pour les spécialistes IT qui, autrement, perdraient leur temps à vérifier les changements sur un tableau Excel reçu par e-mail plus tôt dans la journée de la part de SaaS-1 et SaaS-2. Et oui, c’est effectivement ainsi que ça se passait avant que SAML ne s’impose comme la norme de référence pour la fédération d’identités des SaaS d’entreprise.
Mais ne vous laissez pas décourager en pensant que SAML est uniquement destiné aux applications « utilisateur » comme DropBox, SFDC et Office 365. C'est également un outil très précieux pour gérer les systèmes basés sur le cloud auxquels le service informatique a accès. Considérez, par exemple, que vous avez des personnes qui gèrent des instances, des accès et des services dans AWS. Cela se produit (le plus souvent) via le portail de gestion AWS. Un portail qui peut être gouverné via un service de fédération d'ID .
Vous voulez contrôler l'accès à Office365 depuis une source centralisée et fiable, et il en va de même pour les systèmes qui gèrent votre infrastructure cloud. Vous ne devez pas autoriser des personnes qui ne font plus partie de votre équipe à accéder à ce système, ni attendre 9 jours avant de supprimer cet accès. Réduire les risques et simplifier le processus de provisionnement grâce à l’intégration et l’automatisation via SAML, c’est comme bénéficier d’une offre spéciale « un acheté, un offert » dans votre boutique préférée.
Les services ID Federation améliorent non seulement la productivité et réduisent les risques, mais peuvent également réduire les coûts d'exploitation en éliminant le besoin d'exécuter des processus manuels coûteux (qui nécessitent une surveillance) chaque fois que quelqu'un quitte l'entreprise ou change de rôle/responsabilité.
Cette capacité améliore en fin de compte l’agilité, ce qui signifie que l’informatique est mieux à même de s’adapter, de soutenir et de permettre les initiatives commerciales. Lorsque l’informatique n’est plus liée à de longs processus manuels ou à des intégrations personnalisées, elle peut modifier les systèmes avec plus de facilité et de rapidité et garantir la cohérence dans l’application des politiques sans avoir à franchir de nombreux obstacles. Cela signifie que les entreprises peuvent migrer, ajouter et supprimer des systèmes et des applications selon leurs besoins sans être gênées par la nécessité pour le service informatique de « connecter » manuellement tous les éléments mobiles nécessaires pour garantir la conformité et l’accès.
Les services de fédération d'ID sont de plus en plus précieux en tant qu'outil non seulement pour faciliter la vie des utilisateurs avec SSO et l'accès fédéré, mais également pour améliorer l'agilité, réduire les risques et diminuer les coûts d'exploitation associés à la gestion du nombre croissant d'applications que nous devons utiliser chaque jour sur site et dans le cloud.
Vous avez envie d’approfondir les détails de SAML ? Découvrez cette leçon Lightboard sur SAML de notre propre John Wagnon .