IDaaS, tout sauf la synchronisation d'annuaire

De retour2011 Marc Andreesen a déclaré avec justesse : « Le logiciel est en train de dévorer le monde. » Nous avons vu ce phénomène se concrétiser, même si aujourd’hui je mettrais à jour cette déclaration en disant que « le SaaS est en train de dévorer le monde ». Le SaaS et la fourniture d’ applications métier par abonnement sont devenus le modèle de consommation privilégié par la plupart des organisations. Le cabinet d'analyse de marché IDC prédit que pratiquement tous les éditeurs de logiciels seront entièrement passés à un modèle de distribution SaaS d'ici 2018[1] .

Nous aimons notre SaaS. Et comment ne pas aimer ? La tarification à l’utilisation est favorable aux entreprises. Cela permet une vitesse d’échelle (vers le haut ou vers le bas), réduit l’empreinte des infrastructures locales, diminue les coûts d’investissement, blablabla – si vous lisez ce blog, vous savez probablement déjà tout cela.

Mais le problème avec le SaaS, c’est qu’il faut toujours mettre en œuvre des contrôles de sécurité informatique. Bien que nous comptions sur le fournisseur de services pour sécuriser la plateforme, nous devons nous assurer que l’accès à nos applications professionnelles fournies par SaaS est bien protégé. La menace de comptes compromis constitue sans doute le plus grand risque de sécurité lié à l’adoption des offres SaaS de cloud public. Nous ne pouvons pas avoir des employés utilisant des mots de passe faibles ou partagés pour ces applications, et les post-its sur le bureau de l’utilisateur nous font grincer des dents. Cependant, les politiques de mots de passe forts compliquent la tâche des employés, surtout s’ils doivent les changer régulièrement.

Nous avons besoin d’une solution de gestion des accès pour les applications cloud qui permette une politique forte sans imposer de charge administrative aux utilisateurs ou au personnel informatique. Et bien sûr, nous voulons que tout cela soit livré dans un modèle d’identité en tant que service (IDaaS). Il existe aujourd’hui sur le marché de bonnes offres IDaaS, comme celles de Ping Identity et Okta. Ces solutions offrent une fédération basée sur SSO et SAML pour les applications basées sur le cloud. Vos employés s'authentifient simplement auprès de l'IDaaS et bénéficient d'un accès transparent à toutes leurs applications cloud. Un accès simple, facile et sécurisé aux applications cloud dont ils ont besoin.

Ça a l’air génial, n’est-ce pas ? Copiez ou synchronisez simplement votre annuaire utilisateur sur site sur la plateforme du fournisseur IDaaS, configurez certaines applications SaaS compatibles SAML et vous êtes prêt à fédérer. Attends, quoi ? Copier mon répertoire dans le cloud ? Laisse-moi y réfléchir…

Nous souhaitons tous bénéficier des avantages de simplicité et de sécurité du SSO pour le cloud et le SaaS, mais disposer de copies de l’annuaire d’entreprise sur la plateforme d’un tiers ne convient pas à tout le monde. Bien que je croie sincèrement que les fournisseurs de services prennent la sécurité au sérieux, ils peuvent également être une cible d’attaque fréquente en raison des données sensibles qu’ils hébergent. Limiter les risques dans le cloud est tout simplement une question de sécurité.

Les rapports sur la mort de l’annuaire sur site ont été grandement exagérés. Chez F5, nous avons des clients qui ne souhaitent tout simplement pas exposer leurs annuaires au cloud public. Cependant, il existe un moyen de bénéficier de tous les avantages d’IDaaS sans avoir besoin de placer votre annuaire sur la plateforme IDaaS : c’est ce qu’on appelle le chaînage d’identité SAML. C'est ici que le fournisseur d'identité de fédération IDaaS (IdP) peut rediriger vers un IdP sur site, comme le F5 BIG-IP APM , qui dispose d'un accès sécurisé à l'annuaire d'entreprise sur site. Les employés peuvent être authentifiés de manière transparente via l'annuaire sur site et l'assertion SAML appropriée peut être fournie à l'arrière de l'IDaaS pour le SSO fédéré vers les applications SaaS.

Ce modèle de chaînage IdP permet également d’étendre les politiques d’accès sur site aux applications cloud. L’authentification multifacteur (MFA) et l’accès aux politiques contextuelles pour les applications peuvent également être ajoutés. Plutôt cool, non ?

Si vous envisagez de mettre en œuvre IDaaS mais que vous avez des réserves quant au partage de votre annuaire d'entreprise dans le cloud, le chaînage IdP peut vous aider à apaiser vos inquiétudes. La plupart des fournisseurs IDaaS leaders du marché prennent en charge le chaînage IdP et F5 BIG-IP APM a l'expérience de travailler avec presque tous. Allez-y et IDaaS sans crainte...

[1] Prévisions mondiales et régionales d’IDC sur les services publics en cloud informatique, 2015-2019