La fédération d’identités est un concept qui a émergé parallèlement à l’utilisation croissante d’applications Cloud (publiques) et ses effets collatéraux. Puisque les employés utilisent des applications non gérées par l’entreprise directement, ça change radicalement la manière d’aborder la sécurité…
Auparavant, la sécurité c’était comme un château. En gros on avait les gentils à l’intérieur et les méchants dehors avec un firewall entre les deux. Et aujourd’hui, les ressources d’entreprises étant (en partie) situées à l’extérieur, tout le monde peut venir, frapper à la porte et obtenir des accès à des données d’entreprise. Il y a donc un fossé à appréhender…
la sécurité des applications Cloud n’est pas la même d’une appli à une autre
Donc des ressources d’entreprise sont dorénavant situées en dehors de celle-ci. Imaginons que l’on veuille utiliser salesforce.com : comment une entreprise peut-elle contrôler les accès de ses employés à cette application en particulier ? Le système n’appartenant pas à l’entreprise, Salesforce a ses propres protocoles de sécurité. Et l’entreprise devra s’en accommoder :
- Comment les utilisateurs se loguent ? Par exemple, est-ce que l’appli utilise un protocole type SAML ou est-ce quelque chose du genre OpenID ?
- Comment l’entreprise donne-t-elle accès à une appli spécifique à une groupe d’individus et pas à un autre ? Et comment révoque-t-on ces accès ?
- Comment accéder aux logs ?
- Etc.
Donc, pour chaque appli, l’entreprise va devoir comprendre comment elle marche et comment gérer les interactions entre les ressources internes et celles qui sont externes. Pas besoin de préciser qu’il n’y a pas de souci quand on utilise deux applications et demie pour une vingtaine d’employés. Mais quand on rajoute des zéros derrière ces variables, l’équation prend vite de l’ampleur.
Et c’est cette situation qui a mené au concept de fédération d’identités.
la fédération d’identités ou comment segmenter une population
Face à cette situation, il est clair que les utilisateurs fuient les applications internes à l’entreprise. Un peu comme le phénomène de BYOD, ils veulent que les applis utilisées au boulot soient aussi performante que celles qui sont dans le Cloud.
La consumérisation de l'IT a entrainé les utilisateurs vers plus de personnalisation. Ils veulent voir leurs activités reconnues comme uniques et différentes de celles du voisin. Et qui pourraient leur dire qu’ils ont tort ? ;-)
Du coup, la fédération d’identités sert à
- Segmenter le vieil « active directory » (ou les entreprises stockaient les profils de leurs employés en masse) en plusieurs groupes d’utilisateurs. Par exemple, disons que l’on donne au Marketing produit accès aux Google Apps mais pas à Salesforce (mauvaise idée au passage).
- Donner aux utilisateurs des bénéfices pour les séduire (pourquoi pas une authentification unique ?) qui facilitera leurs vies en entreprise.
- Donner accès de manière centralisée aux applications Cloud de telle sorte que l’entreprise n’ait pas à toutes les gérer individuellement.
J’ai oublié quelque chose ? :-)
Rémi
PS : un grand merci à Brice Renaud pour son temps ! Comme bonus, voici les slides qu’il a utilisé pour Orange Business Live :