La gestion d'un nombre incalculable d'applications, d'utilisateurs et de licences est difficile. Pour cela, vous trouverez ici un aperçu des technologies essentielles de gestion des identités et des accès (IAM) (SSO, SCIM et SAML), expliquant leurs rôles, leurs synergies et leurs défis.

Il est essentiel de comprendre certains concepts essentiels liés à l'IAM, tels que le SSO, le SCIM et le SAML, avant d'approfondir la mise en place d'un système adapté à votre entreprise. Voici un aperçu des trois technologies :

Authentification unique (SSO) est un service d'authentification des utilisateurs qui permet d'utiliser un seul ensemble d'informations de connexion pour accéder à plusieurs applications, éliminant ainsi le besoin de mémoriser plusieurs mots de passe et réduisant le risque de vol de mots de passe.

Système de gestion des identités interdomaines (SCIM) est un protocole pour le provisionnement et le déprovisionnement automatisés des identités des utilisateurs sur différents systèmes et applications. Cela permet aux organisations d'économiser du temps et des ressources en leur évitant de devoir le faire manuellement gérer les identités et les accès des utilisateurs dans chaque système. En modifiant automatiquement les profils et les privilèges d'un utilisateur pour refléter les changements de statut, SCIM garantit la protection des données et l'application du moindre privilège. Par exemple, un employé quitte une entreprise, ce qui déclenche un « off-boarding ». SCIM est donc utilisé pour déprovisionner automatiquement l'utilisateur afin qu'il n'ait plus le droit d'accéder aux applications et aux données. Le SCIM est également important pour la gouvernance globale des accès.

Langage de balisage des assertions de sécurité (SAML) est une norme basée sur XML permettant l'échange de données d'authentification et d'autorisation entre différents systèmes. SAML n'autorise l'accès à une application que si l'utilisateur s'authentifie correctement. Cela peut être utilisé pour implémenter le SSO, ainsi que d'autres fonctionnalités de sécurité telles que l'authentification multifactorielle.

Examinons un peu plus en détail chacun d'eux et comment ils se comparent les uns aux autres.

SCIM contre SAML

Les deux SCIM (Système de gestion des identités interdomaines) et SAML (Security Assertion Markup Language) sont des protocoles utiles dans l'écosystème de gestion des identités. Le SCIM et le SAML partagent les mêmes objectifs d'amélioration de la sécurité et de rationalisation de la gestion des accès et des privilèges des utilisateurs. Cependant, les protocoles diffèrent dans leurs applications. Le SCIM est principalement axé sur la gestion et régissant les informations relatives à l'identité des utilisateurs sur différents systèmes, tandis que SAML est conçu pour faciliter l'authentification et l'authentification unique (SSO) dans différents domaines. Ensemble, ils créent un système de gestion des identités en ligne sécurisé et efficace qui applique les droits d'accès les moins privilégiés.

Existe-t-il des synergies entre SCIM et SAML ?

SCIM et SAML peuvent être utilisés comme protocoles complémentaires pour parvenir à une approche holistique gestion des identités et des accès: SAML authentifiera les utilisateurs et SCIM fournira et supprimera les utilisateurs et les licences. Ils travaillent ensemble pour se compléter au sein d'un système de gestion des identités et des accès. Alors que le SAML authentifie les utilisateurs, le SCIM garantit que ces utilisateurs sont des employés actuels et que leurs privilèges reflètent correctement leurs rôles et services.

Qu'est-ce que le provisionnement et le déprovisionnement des utilisateurs ?

Les comptes utilisateur d'un système peuvent être créés, mis à jour et supprimés. Ce processus est connu sous le nom de provisionnement. Lorsque des événements de provisionnement se produisent, ils doivent être synchronisés entre plusieurs applications et systèmes. Par exemple, le système RH indiquera à l'IAM quand et dans quelle équipe le nouvel utilisateur rejoindra, ce qui a un impact sur la configuration du profil utilisateur. Le provisionnement des comptes a souvent un impact sur les groupes d'utilisateurs et les appartenances aux groupes. L'objectif est de disposer d'un processus de provisionnement automatisé, mais le provisionnement peut également être effectué manuellement. L'approvisionnement manuel peut être observé dans les petites entreprises ou lorsque les embarquements et les sorties ne sont pas très nombreux. Idéalement, le provisionnement et le déprovisionnement sont automatisés pour garantir que l'authentification et les privilèges des employés sont reflétés rapidement et précisément sur le lieu de travail.

Avantages de l'approvisionnement et du déprovisionnement automatisés :

• Intégration et départ des employés : attribuez ou révoquez rapidement des comptes utilisateurs et des droits d'accès en fonction des rôles.
• Gestion des utilisateurs pour l'ensemble des applications et des services: le provisionnement automatisé rationalise la gestion des utilisateurs.
• Sécurité: l'automatisation du provisionnement garantit que l'accès au moindre privilège est appliqué et élimine les comptes zombies en retirant les employés qui quittent leur poste.
• Conformité: Pour des certifications telles que NORME ISO 27001 ou SOC 2, il est utile de disposer d'un processus automatisé qui simplifie également les révisions d'accès ultérieures.

Utiliser SCIM et SAML ensemble

Les entreprises qui doivent s'assurer que le contrôle d'accès est appliqué et que les droits d'accès les moins privilégiés sont appliqués peuvent souhaiter implémenter à la fois le SCIM et le SAML. Cependant, une petite organisation peut choisir de mettre en œuvre initialement le SSO SAML pour optimiser la productivité et sécuriser l'accès.

Cependant, le SAML nécessite souvent de gérer manuellement les autorisations des utilisateurs et de supprimer ou de supprimer des comptes utilisateurs lorsque les employés quittent un service ou changent de service. Plus tard, l'ajout du provisionnement SCIM fournit une automatisation et une visibilité complètes des accès et des autorisations de chacun.

Quelques défis du SCIM et du SAML

Inconvénients du SSO :

• Prix : La tâche dite SSO imposée par les fournisseurs qui facturent souvent plus cher les fonctionnalités SSO, ce qui représente une charge pour les petites entreprises.
• Mise en œuvre complexe : la configuration du SSO peut être complexe et nécessiter des connaissances spécialisées.

Inconvénients du protocole SAML :

• Complexité : SAML peut être complexe à implémenter et à optimiser, nécessitant des connaissances spécialisées.
• Problèmes de compatibilité : SAML n'est pas compatible avec tous les services ou applications.
• Limitations liées aux appareils mobiles : SAML n'a pas été conçu pour les applications mobiles, ce qui peut entraîner des difficultés de mise en œuvre.
• Complexité de la déconnexion unique (SLO) : la mise en œuvre d'une SLO avec SAML peut être complexe et ne pas toujours fonctionner de manière fiable.

Inconvénients du SCIM :

• Fiscalité SCIM : les fonctionnalités SCIM ne sont souvent disponibles que dans les versions supérieures et plus coûteuses des outils de gestion des identités.
• Dépendance à l'authentification unique : le SCIM nécessite souvent le SSO pour fonctionner, ce qui augmente la complexité et les coûts de mise en œuvre.

Dans l'ensemble, le provisionnement via SCIM et SSO s'accompagne souvent d'un coût plus que significatif et d'une mise en œuvre difficile. Avec des outils tels qu'Okta, le coût par utilisateur peut se situer entre 15€ et 18€ par mois, sans compter les frais supplémentaires liés au paiement de milliers d'euros aux fournisseurs pour obtenir le niveau du SSO. La recherche de alternatives à Okta devient rapidement une priorité lorsque les entreprises de taille moyenne commencent à payer des sommes élevées à cinq chiffres pour leur système IAM (lisez la suite pour voir quel outil IAM pourrait être une meilleure solution qu'Okta).

Alternative à l'approvisionnement SCIM

Les petites et moyennes entreprises comptant seulement quelques centaines d'utilisateurs ont souvent du mal à utiliser SCIM et SAML de manière efficace. Des alternatives comme Okta fournir ce service, mais avec un prix important et une mise en œuvre complexe. Corma est une alternative à l'implémentation SCIM pour le provisionnement et le déprovisionnement des comptes utilisateurs. Corma approvisionne automatiquement les utilisateurs pour plusieurs centaines d'applications et se connecte à des fournisseurs d'identité tels que Google Workspace, Microsoft 365 et Okta.

Corma peut gérer les demandes d'accès et les approbations pour les applications SaaS via Slack. Avec un générateur de flux de travail personnalisé, il est facile de configurer un système pour des flux d'approbation personnalisés en fonction des utilisateurs et des applications. Pour ce faire, Corma utilise des API : des applications SaaS peuvent facilement être ajoutées selon les besoins.

Corma propose une solution prête à l'emploi aux organisations non professionnelles qui utilisent une grande variété d'applications SaaS. Il est également utile pour les grandes entreprises qui s'appuient sur le SCIM, mais rencontrent des difficultés avec un grand nombre d'applications qui ne le prennent pas en charge.