À propos des cookies sur ce site Pour fonctionner correctement, nos sites Internet nécessitent certains cookies (requis). En outre, d'autres cookies peuvent être utilisés avec votre consentement pour analyser l'utilisation d'un site, améliorer l'expérience des utilisateurs et à des fins publicitaires. Pour plus informations, passez en revue vos options de préférences en. En visitant notre site Web, vous acceptez que nous traitions les informations comme décrit dans ladéclaration de confidentialité d’IBM. Pour faciliter la navigation, vos préférences en matière de cookie seront partagées dans les domaines Web d'IBM énumérés ici.
Qu’est-ce que l’orchestration des identités ?
Publication : 4 avril 2024
Contributeurs : Matthew Kosinski, Amber Forrest
Identity Orchestration est une solution logicielle permettant de coordonner les systèmes de gestion des identités et des accès (IAM) disparates de plusieurs fournisseurs dans des workflows fluides.
À l’ère de la transformation numérique, les organisations sont de plus en plus nombreuses à adopter des solutions SaaS (logiciel en tant que service), à passer à des environnements multicloud hybrides et à mettre en place le télétravail. Les écosystèmes informatiques d’entreprise d’aujourd’hui sont multifournisseurs : un mélange d’applications et d’actifs cloud et sur site au service d’utilisateurs variés, des employés et des sous-traitants aux partenaires et aux clients.
Selon un rapport, un département métier standard utilise en moyenne 87 applications SaaS différentes.1 Ces applications ont souvent leurs propres systèmes d’identité, qui ne s’intègrent pas nécessairement facilement les uns aux autres. Par conséquent, de nombreuses organisations sont confrontées à des environnements de gestion des identités fragmentés et à des expériences utilisateur peu commodes.
Par exemple, il peut arriver qu’un employé ait des comptes différents pour le système de gestion des tickets et pour le portail de gestion de la relation client (CRM) de l’entreprise. Cela peut compliquer les tâches pourtant simples, comme la résolution de tickets de service client. L’utilisateur doit jongler avec différentes identités numériques pour obtenir les détails du ticket d’incident sur un système et les informations pertinentes sur les clients sur un autre.
Parallèlement, les départements informatiques et les équipes chargées de la cybersécurité ont du mal à suivre l’activité des utilisateurs et à appliquer des politiques de contrôle d’accès cohérentes sur l’ensemble du réseau. Dans l’exemple précédent, l’employé pourrait bénéficier d’un plus grand nombre de privilèges que nécessaire dans le système de gestion de projet, alors que ses autorisations dans le CRM pourraient ne pas suffire pour lui permettre d’accéder aux dossiers des clients qu’il sert.
Le logiciel Identity Orchestration permet de rationaliser la gestion des identités et des accès en organisant des services d’identité et d’authentification distincts dans des workflows automatisés et cohérents.
Tous les outils de gestion des identités d’une entreprise s’intègrent au logiciel d’orchestration, qui se charge de créer et de gérer les connexions entre eux. L’organisation peut ainsi créer une architecture IAM personnalisée, comme des systèmes d’authentification unique (SSO) agnostiques, sans remplacer ni réorganiser les systèmes existants.
Pour en revenir à l’exemple précédent, l’organisation pourrait utiliser une plateforme d’orchestration des identités pour connecter les comptes des employés pour le système de gestion des tickets et le système CRM à une plateforme SSO et relier le tout à un annuaire d’utilisateurs centralisé. Ainsi, les utilisateurs peuvent se connecter à la plateforme SSO pour accéder aux deux applications. L’annuaire centralisé vérifie automatiquement leur identité et applique les autorisations d’accès appropriées à chaque service.
Les identités sont devenues un vecteur d’attaque majeur. Découvrez comment les organisations peuvent lutter contre les attaques basées sur l’identité et rationaliser l’expérience utilisateur grâce à l’orchestration des identités.
Comment fonctionne l’orchestration des identités ?
Dans le domaine des technologies de l’information, l’orchestration est le processus qui consiste à connecter et à coordonner des outils disparates afin d’automatiser des workflows complexes comportant plusieurs étapes. Par exemple, dans le cadre de l’orchestration de la sécurité, une organisation pourrait associer une passerelle de messagerie sécurisée, une plateforme de renseignement sur les menaces et un logiciel antimalware pour créer un workflow automatisé de détection et de réponse à l’hameçonnage.
L’orchestration des identités connecte et coordonne les capacités de différents outils de gestion des identités pour créer des workflows d’identité unifiés et rationalisés.
Les outils d’identité permettent aux organisations de définir, de gérer et de sécuriser les identités utilisateurs : systèmes de vérification de l’identité, et plateformes de gestion des identités et des accès des clients, par exemple.
Les workflows d’identité correspondent aux processus empruntés par les utilisateurs dans les outils d’identité. Citons comme exemples de workflows d’identité les connexions des utilisateurs, le processus d’onboarding et le provisionnement de comptes.
Les outils de gestion des identités ne s’intègrent pas toujours facilement, en particulier lorsque les organisations ont affaire à des outils SaaS hébergés sur différents clouds, ou qu’elles essaient de combler les lacunes entre les systèmes sur site et les systèmes basés sur le cloud. Les plateformes d’orchestration des identités peuvent connecter ces outils même lorsqu’ils ne sont pas conçus pour s’intégrer.
Les plateformes d’orchestration des identités agissent comme des plans de contrôle centraux pour tous les systèmes d’identité d’un réseau. Chaque outil d’identité s’intègre à la plateforme d’orchestration, créant ainsi une architecture d’identité complète appelée « structure d’identité ».
Les organisations n’ont pas besoin de coder ces intégrations en dur. En fait, les plateformes d’orchestration utilisent une combinaison de connecteurs prédéfinis, d’interfaces de programmation d’applications (API) et de normes communes comme SAML et OAuth pour gérer les connexions entre les outils.
Une fois les systèmes d’identité intégrés à une structure d’identité, l’organisation peut utiliser la plateforme d’orchestration pour coordonner ses activités et contrôler la façon dont les utilisateurs passent d’un outil à l’autre dans les workflows d’identité. L’un des aspects essentiels de la plateforme d’orchestration, c’est qu’elle dissocie l’authentification et l’autorisation des applications individuelles, permettant la mise en place de workflows d’identité complexes.
Comme mentionné précédemment, il arrive que les différents systèmes d’identité en place ne puissent pas communiquer entre eux en l’absence d’une solution d’orchestration. Si, par exemple, une organisation utilisait un outil de gestion de la relation client (CRM) et un système de gestion de documents (DMS) provenant chacun d’un fournisseur différent, chaque application pourrait avoir son propre système IAM.
Les utilisateurs devraient alors gérer des comptes distincts pour chaque application. Pour accéder à l’une ou l’autre, ils devraient se connecter directement au service concerné. L’authentification et l'autorisation s’effectueraient dans le système IAM de chaque application et ne seraient pas transférées d’une application à l’autre.
Les choses se déroulent différemment avec une solution d’orchestration. Lorsqu’un utilisateur accède à l’une des applications, la demande passe d’abord par la solution d’orchestration. La solution achemine la demande vers le bon service de vérification des identités et de contrôle des accès, qui peut être un annuaire centralisé se trouvant en dehors des applications.
Une fois l’utilisateur authentifié et autorisé par l’annuaire centralisé, la plateforme d’orchestration laisse l’utilisateur accéder à l’application avec les autorisations appropriées.
Workflows d’identité
Pour mettre tout cela en pratique, les organisations utilisent des plateformes d’orchestration des identités pour créer des workflows d’identité. Également appelés « parcours utilisateur », les workflows d’identité sont des processus qui dictent le cheminement des utilisateurs dans les outils d’identification et la manière dont ces outils interagissent dans des situations définies, par exemple lorsqu’un utilisateur se connecte à une application.
Les workflows peuvent être simples ou relativement complexes, avec une logique conditionnelle et des ramifications. Ils peuvent impliquer de nombreux systèmes différents, certains n’étant pas considérés comme des outils d’identité à proprement parler, comme les services de messagerie et les sites de réseaux sociaux.
Les solutions d’orchestration des identités permettent aux organisations de créer des parcours utilisateur sans écrire de nouveau code. Ces solutions sont dotées d’interfaces visuelles no-code par glisser-déposer qui permettent de définir des événements, de connecter des outils de gestion des identités et de créer des parcours utilisateur.
Cet exemple vous aidera peut-être à mieux comprendre les workflows d’identité. Voici un workflow hypothétique d’onboarding et de connexion des nouveaux employés qu’une organisation pourrait créer via une plateforme d’orchestration.
- Tout d’abord, le nouvel employé crée un compte sur un portail RH en libre-service. Cette action marque le début du workflow d’onboarding.
- La plateforme d’orchestration des identités déclenche la création d’une identité utilisateur unique pour la nouvelle recrue dans le service d’annuaire centralisé de l’organisation. La nouvelle recrue se voit automatiquement attribuer un ensemble de privilèges d’accès basés sur son rôle.
- La plateforme d’orchestration provisionne ensuite ses comptes dans tous les services pertinents, y compris les applications qu’elle utilisera dans le cadre de son travail et les systèmes de back-office comme les logiciels de paie. Ces comptes sont associés à l’identité utilisateur principale de la nouvelle recrue dans l’annuaire centralisé.
- Maintenant que l’employé est dans le système, il peut se connecter à son application de messagerie professionnelle. Au lieu de passer directement par l’application de messagerie, la demande de connexion est envoyée à la plateforme d’orchestration.
- La plateforme d’orchestration achemine la demande via un système de détection des fraudes, à la recherche de signes de comportement suspect. Étant donné que ce nouvel employé se connecte à son compte de messagerie pour la toute première fois, il est associé à un score de risque plus élevé.
- Ensuite, la demande de connexion est envoyée à la plateforme SSO de l’organisation. Comme la nouvelle recrue est associée à un niveau de risque plus élevé, l’authentification adaptative fait son entrée. La nouvelle recrue doit utiliser l’authentification multifacteur (MFA) pour accéder à son compte.
- Elle passe toutes les étapes d’authentification avec succès, et elle est authentifiée et autorisée par l’annuaire centralisé. La plateforme d’orchestration transmet ces informations à la plateforme SSO, qui laisse le nouvel employé accéder à son compte de messagerie, ainsi qu’à toutes les autres applications associées à la SSO, avec les privilèges appropriés.
Malgré la multitude apparente d’étapes, il convient de noter que tout cela se passe automatiquement en arrière-plan, sans que l’utilisateur s’en aperçoive. La plateforme d’orchestration supervise le processus du début à la fin. De plus, les futures connexions seront encore plus simplifiées. L’utilisateur n’aura plus qu’à se connecter à la plateforme SSO, qui le reconnaîtra désormais et lui donnera accès à tout ce dont il a besoin.
Cas d’utilisation de l’orchestration des identités
Les plateformes d’orchestration des identités ne remplacent pas les systèmes d’identité existants. Elles créent des connexions entre eux, permettant à des applications et outils disparates de fonctionner ensemble, même s’ils n’ont pas été conçus pour cela. Cette fonctionnalité peut aider les organisations à résoudre certains problèmes courants.
De nombreuses organisations font appel à plusieurs fournisseurs de cloud et d’outils sur site. Lorsque ces systèmes ne s’intègrent pas aux autres, les organisations perdent de la visibilité sur le comportement des utilisateurs sur l’ensemble du réseau. Les départements informatiques et les équipes de sécurité ne peuvent pas suivre un utilisateur individuel entre Microsoft Azure et Amazon Web Services, par exemple, car il utilise des comptes distincts pour chaque cloud.
Cet environnement fragmenté peut également compliquer l’application de politiques d’accès et de contrôles de sécurité cohérents sur toutes les applications et tous les actifs d’une entreprise.
Ces lacunes en matière de visibilité et de sécurité permettent aux pirates et aux initiés malveillants de faire des ravages sans être détectés. Les enjeux sont particulièrement élevés avec les systèmes d’identité, qui sont des cibles privilégiées pour les cybercriminels. Selon le rapport X-Force Threat Intelligence Index, les cyberattaques utilisant des identifiants volés ou compromis ont augmenté de 71 % entre 2022 et 2023.
Hypothétiquement, les organisations pourraient éviter les silos d’identité en utilisant les outils d’un seul fournisseur ou en utilisant uniquement des outils conçus pour l’intégration. Cependant, cela signifierait que l’organisation ne serait pas toujours libre de choisir les outils réellement adaptés à son travail.
L’orchestration des identités permet d’éliminer les silos d’identité et de restaurer la visibilité sans trop modifier les systèmes existants. Les organisations peuvent créer des annuaires centralisés afin de fournir une identité numérique unique à chaque utilisateur, leur permettant de suivre leurs comportements et de détecter les menaces en temps réel sur l’ensemble des applications et des actifs. Les entreprises peuvent également utiliser l’orchestration pour appliquer des contrôles d’accès uniformes sur l’ensemble du réseau.
En outre, les plateformes d’orchestration des identités peuvent centraliser la gestion du cycle de vie des identités pour tous les types d’utilisateurs : les employés, les clients et plus encore. Les organisations peuvent appliquer des contrôles de cybersécurité robustes aux actifs utilisés par les consommateurs sans perturber l’expérience client.
La SSO permet aux utilisateurs de se connecter à plusieurs systèmes à l’aide d’une seule paire d’identifiants, mais chaque plateforme d’authentification unique peut ne pas être compatible avec l’ensemble des applications et actifs d’une entreprise. En effet, différentes SSO peuvent utiliser différentes normes, comme SAML ou OIDC, pour échanger des informations d’authentification entre systèmes. Si une application ou un actif ne peut pas utiliser la même norme qu’une SSO particulière, il ne peut pas communiquer avec cette plateforme.
Les plateformes d’orchestration des identités peuvent connecter les SSO à des applications qui ne s’intègrent pas de manière native. Les applications et la SSO s’intègrent à la plateforme d’orchestration des identités, plutôt que directement les unes aux autres. La plateforme d’orchestration des identités gère ensuite la communication entre les systèmes, ce qui permet aux organisations de regrouper toutes leurs applications et tous leurs actifs sous la même SSO, quelle que soit leur compatibilité.
Les organisations souhaitent souvent étendre les nouvelles mesures de sécurité telles que l’authentification multifacteur ou l’authentification sans mot de passe aux applications existantes. Cependant, de tels efforts de modernisation peuvent être coûteux et chronophages, nécessitant souvent de personnaliser le code et de remplacer totalement le système.
L’orchestration des identités peut simplifier le processus. Les organisations peuvent utiliser les interfaces visuelles des plateformes d’orchestration pour concevoir des workflows d’identité intégrant les derniers outils de sécurité aux applications existantes. Ainsi, les organisations peuvent réunir des actifs basés sur le cloud et sur site au sein d’une architecture Zero Trust unique.
Les organisations ont besoin de visibilité sur le comportement des utilisateurs pour se conformer à des réglementations telles que le RGPD (Règlement général sur la protection des données) ou la loi HIPAA (Health Insurance Portability and Accountability Act).
Ces réglementations obligent les organisations à appliquer des politiques de contrôle d’accès strictes aux données sensibles, telles que les numéros de cartes bancaires et les informations médicales, et à suivre l’utilisation qui est faite de ces données. Lorsque les utilisateurs possèdent plusieurs identités numériques, il peut être difficile de s’assurer que seules les bonnes personnes peuvent accéder aux bonnes données pour les bonnes raisons.
L’orchestration des identités peut permettre aux entreprises de respecter certaines exigences de conformité en facilitant le suivi du comportement des utilisateurs et en appliquant des autorisations d’accès cohérentes. Certaines plateformes d’orchestration conservent également des journaux de workflows d’identité, ce qui peut s’avérer utile en cas d’audit.
Solutions connexes
La famille IBM Security Verify offre des capacités automatisées, basées sur le cloud et sur site, pour administrer la gouvernance des identités, gérer les identités et les accès du personnel et des consommateurs, et contrôler les comptes privilégiés.
IBM Security Verify fournit les éléments de base qui peuvent permettre aux clients de créer une structure d’identité efficace, composée à la fois de solutions IBM et de solutions tierces existantes.
Rationalisez les efforts en matière d’IAM avec l’aide de spécialistes des identités et de la sécurité pour déterminer et gérer des solutions sur des environnements de cloud hybride, transformer des workflows de gouvernance et démontrer votre conformité.
Ressources
La gestion des identités et des accès (IAM) est la discipline de la cybersécurité qui concerne la manière dont les utilisateurs accèdent aux ressources numériques et de ce qu’ils peuvent en faire.
IBM a mandaté Forrester Consulting pour mener une étude Total Economic Impact (TEI) afin d’examiner le retour sur investissement (ROI) potentiel que les organisations sont susceptibles de réaliser grâce au déploiement d’IBM Security Verify comme solution IDaaS (Identity-as-a-Service) en tandem avec leur infrastructure IAM sur site.
Pour résoudre les défis inhérents aux environnements hybrides d’aujourd’hui en matière d’identités, les entreprises ont besoin d’une solution polyvalente qui complète les solutions de gestion des identités existantes tout en intégrant efficacement les différents silos IAM dans un ensemble cohérent.
Notes de bas de page
1 2023 State of SaaS Trends (lien externe à ibm.com), Productiv, 21 juin 2023