Stratégies de gestion des identités et des accès (IAM) | IAM Implementation

Qu'est-ce que c'est?

La gestion des identités et des accès (IAM) a pour objectif principal de fournir une identité numérique par individu. Les organisations déploient IAM pour fournir aux administrateurs la possibilité de gérer les identités numériques tout au long de leur cycle de vie, y compris la modification des rôles des utilisateurs, le suivi des activités et l’application de politiques d’accès à tous les systèmes et services. La technologie consolide les identités numériques distribuées et fédère l’accès à travers des systèmes hétérogènes.

IAM peut être appliqué aux utilisateurs internes, aux partenaires, aux identités système et aux clients (CIAM). Quel que soit le type d’identité numérique, il s’agit d’une pratique de sécurité et les principes de mise en œuvre pour chaque type restent les mêmes.

Proposition de valeur de la capacité

La valeur clé de l’IAM réside dans la consolidation des identités au sein d’une organisation et les économies inhérentes à la possibilité d’administrer de manière centralisée une seule identité fédérée. De manière plus générale, les avantages d’un déploiement IAM peuvent être vus dans:

Meilleure expérience client et utilisateur.
Risque d’exposition réduit et sécurité améliorée.
Intelligence d’affaires améliorée grâce à des idées.
Meilleur contrôle sur les utilisateurs et les données.
Réduisez les coûts d’administration commerciale.
Réduire la complexité du développement dans les initiatives de transformation numérique.

Les cas d'utilisation

La gestion des identités et des accès est une nécessité pour presque toutes les organisations, la variation réside dans l’attention qui lui est accordée et la maturité globale de la capacité. Toute organisation qui a besoin de rivaliser au niveau de l’expérience client, des secteurs tels que la vente au détail et la banque, aura probablement la CIAM au cœur de toute initiative de transformation.

À un niveau plus granulaire, il y aura probablement des initiatives à plus petite échelle dans la plupart des organisations, motivées par des besoins immédiats tels que la mise à l’échelle des clients, des exigences d’authentification plus souples ou de nouvelles directives de sécurité.

La fédération et les besoins d’authentification unique deviennent rapidement les cas d’utilisation les plus populaires avec des technologies telles que Forgerock, Okta et WSO2 Identity Server de plus en plus populaires. Ces technologies facilitent l’intégration de fournisseurs d’identité tels que Google, Facebook, Microsoft et Salesforce en utilisant des normes communes telles que SAML, Oauth 2.0 et OpenID connect, permettant une connexion unique sur plusieurs appareils.

En plus d’une grande amélioration de l’expérience client, une forte capacité de CIAM / IAM peut naître du désir d’avoir une augmentation des analyses et des renseignements sur les comportements des clients ou utilisateurs. Afin de vraiment comprendre le parcours et les habitudes des clients, il doit être possible d’identifier de manière unique l’identité du client sur plusieurs systèmes et services.

Les meilleures pratiques de mise en œuvre

Une solution IAM doit prendre en charge les protocoles standard pour l’authentification unique et la fédération. La plupart des technologies sur le marché suivent ces normes, bien qu’il y ait quelques différences. Les normes et protocoles clés à surveiller sont:

LDAP (Lightweight Directory Access Protocol) – Il s’agit d’une norme de communication pour les données de type annuaire basées sur des enregistrements, telles que l’utilisateur, le groupe ou le rôle. Les solutions doivent être compatibles LDAP afin de communiquer avec les services d’annuaire tels que AD (Active Directory).
SAML (Security Assertion Markup Language) – SAML est un standard ouvert pour l’échange de données d’authentification et d’autorisation entre les fournisseurs d’identité et de services. Il est un langage XML basé qui utilise des signatures numériques, par opposition aux mots de passe pour plus de sécurité et de conformité
XACML (eXtensible Access Control Markup Language) – Ce langage est utilisé comme un langage de contrôle d’accès à granularité fine. Cela permet effectivement le contrôle d’accès basé sur les attributs (ABAC). En termes simples, il offre la granularité nécessaire pour autoriser l’accès aux ressources en fonction d’attributs simples tels que «emplacement» ou «niveau d’autorisation».
Oauth 2.0 – Il s’agit d’un protocole d’autorisation conçu pour fonctionner avec HTTP. Il permet d’émettre des jetons d’accès à des clients tiers afin d’accéder aux ressources.
SCIM (System for Cross-domain Identity Management) – Il s’agit d’un standard ouvert pour l’automatisation de l’approvisionnement des utilisateurs.Il permet à une application de créer, lire, mettre à jour ou supprimer des identités via un protocole basé sur REST dans les applications cibles. C’est un composant clé pour SSO (Single Sign-on).

Comment ces technologies se différencient-elles?

Traditionnellement, un système IAM ou CIAM comporte quatre composants clés:

Un service d’annuaire ou un référentiel dans lequel des utilisateurs individuels sont définis.
Un ensemble d’outils pour administrer ces données.
Un système qui contrôle l’accès des utilisateurs à d’autres systèmes pour l’authentification et l’autorisation.
Un système d’audit et de reportage.

Dans les environnements actuels, cependant, il est nécessaire d’étendre ces offres afin de faciliter un contrôle d’accès transparent à travers plusieurs frontières internes et externes ainsi que sur de nombreux appareils différents.

La plupart des technologies de cet espace offrent la capacité de base de la gestion des identités et des accès, mais il y aura des différences entre les produits et les technologies.

Une différence fondamentale dans les technologies sera dans les cas d’utilisation que le produit tente de prendre en charge. Il existe de nombreuses solutions centrées uniquement sur le B2E (Business to Employee) dans lesquelles la priorité de la solution réside clairement dans l’accès interne aux ressources internes. D’autres produits peuvent cependant se concentrer davantage sur la gestion des accès externes tels que B2B (Business to Business), B2C (Business to Customer) ou G2C (Government to Citizens). De plus en plus, les produits de cet espace se concentrent sur des types d’identité non humains tels que les robots et les appareils IdO.

Une autre différence entre les solutions dans cet espace est l’attention portée à la sécurité. Si toutes les solutions doivent avoir une base en matière de sécurité, certaines auront une approche plus spécialisée, se concentrant sur des domaines tels que la détection des fraudes.

Les modèles de tarification peuvent varier dans cet espace, certaines solutions proposant une tarification par abonnement soit en fonction des utilisateurs, soit dans certains cas des appareils, d’autres sont davantage basées sur des fonctionnalités, par exemple si vous voulez des analyses, une passerelle ou gateway d’identité ou simplement un contrôle d’accès interne. La tarification basée sur le serveur ou le cœur est également une option avec certaines solutions. L’Open Source est également une option, même si cela vaut la peine de garder à l’esprit le coût global réel en termes de mise en œuvre et de support.

Les considérations

L’achat d’une solution IAM n’est pas une tâche simple. Il y a une pléthore de différentes options disponibles, chacune avec leurs propres forces et faiblesses. Comme pour tout choix technologique, il faut d’abord réfléchir à la capacité globale en termes de personnel, de processus et de technologie requis. Il est recommandé d’employer une certaine forme de modèle de maturité des capacités afin de comprendre la maturité actuelle de l’IAM au sein de l’organisation et aider à équilibrer cela avec les priorités organisationnelles.

Une fois au moment de rechercher des solutions, la difficulté peut être de comprendre les exigences nécessaires pour votre organisation. Il est important ici d’engager un spécialiste de la gestion des identités et des accès afin de comprendre quelles fonctionnalités peuvent être requises d’une solution. Les zones communes à explorer sont:

Administration des identités.
Contrôles d’accès aux APIs.
Autorisation et Adaptive Authorization.
Apportez votre propre identité.
Synchronisation des répertoires et des identités.
Journalisation et rapports d’événements.
Exigences d’application non standard.
Exigences d’application standard.
Méthodes d’authentification des utilisateurs.
Exigences du libre-service.

Il est important de comprendre la nécessité de ces capacités d’un point de vue interne et externe, car elles peuvent différer.

Voilà pourquoi Chakray?

Chez Chakray, nous comprenons l’importance de la gestion des identités et des accès et son rôle dans la transformation numérique. Nous avons une énorme expérience et des histoires de succès de notre clientèle, aidant les clients à trouver les meilleures solutions pour faire avancer leurs expériences client et leur agilité numérique.

Chakray propose des services dans les catégories suivantes:

Stratégie de gestion des identités et des accès
Les services IAM ou gestion des identités et des accès de Chakray visent à aider à aligner les besoins de l’entreprise, les plates-formes / fonctionnalités technologiques IAM et les plates-formes héritées de l’entreprise pour produire une feuille de route stratégique.
Implémentation de gestion des identités et des accès
Comprendre les complexités et les pièges d’intégration des solutions de gestion des identités et des accès, les transformations et la transition vers les opérations.
Services gérés de gestion des identités et des accès
La gestion des identités et des accès est devenue une application métier essentielle pour la gestion du cycle de vie des utilisateurs, l’audit, la conformité réglementaire et l’offre d’une expérience utilisateur améliorée.