La gestion de l'authentification et des accès (généralement appelée IAM, Identity and Access Management) consiste à accorder aux bonnes personnes l'accès aux bonnes ressources pour les bonnes raisons. Cette série explore IAM et les personnes qui y sont soumises, y compris les suivantes :
- Identités d'entreprise : identités que vous gérez pour les employés de votre organisation. Ceux-ci utilisent ces identités pour se connecter à leur poste de travail, accéder à leurs e-mails ou utiliser des applications d'entreprise. Les identités d'entreprise peuvent également inclure des personnes autres que les employés, tels que des sous-traitants ou des partenaires ayant besoin d'accéder aux ressources de l'entreprise.
- Identités client : identités que vous gérez pour permettre aux utilisateurs d'interagir avec votre site Web ou avec vos applications destinées aux clients.
- Identités d'application : identités que vous gérez pour permettre aux applications d'interagir avec d'autres applications ou avec la plate-forme sous-jacente.
Vous devrez peut-être accorder l'accès aux ressources suivantes :
- Services Google tels que Google Cloud, Google Analytics ou Google Workspace
- Ressources dans Google Cloud, telles que des projets, des buckets Cloud Storage ou des machines virtuelles (VM)
- Applications ou ressources personnalisées gérées par ces applications
Les guides de cette série décomposent les considérations sur IAM en plusieurs parties :
- La gestion des identités d'entreprise, client et d'application constitue la base d'IAM. Ces sujets sont représentés par les cases 4, 5 et 6 (en vert).
- Les cases 2 et 3 (en bleu) représentent les sujets concernant la gestion des accès. Elles s'appuient sur la gestion des identités. Ces sujets incluent la gestion des accès aux services Google, aux ressources Google Cloud, ainsi qu'à vos charges de travail et applications personnalisées.
- La case 1 (en jaune) représente les sujets concernant la gestion des accès qui n'entrent pas dans le cadre de ces guides. Pour en savoir plus sur la gestion des accès pour Google Workspace, Google Marketing Platform et d'autres services, consultez la documentation du produit.
Gestion des identités
La gestion des identités se concentre sur les processus suivants :
- Provisionner, gérer et migrer les identités, les utilisateurs et les groupes, et annuler leur provisionnement
- Activer l'authentification sécurisée pour les services Google et vos charges de travail personnalisées
Les processus et les technologies diffèrent selon que vous gérez des identités d'entreprise, des identités d'application ou des identités client.
Gérer les identités d'entreprise
Les identités d'entreprise sont les identités que vous gérez pour les employés de votre organisation. Ceux-ci utilisent ces identités pour se connecter à leur poste de travail, accéder à leurs e-mails ou utiliser des applications d'entreprise.
Dans le contexte de la gestion des identités d'entreprise, les conditions suivantes sont généralement requises :
- Maintenir un emplacement unique pour gérer les identités au sein de votre organisation
- Permettre aux employés d'utiliser une identité unique et une authentification unique pour plusieurs applications dans un environnement informatique hybride
- Appliquer des stratégies telles que l'authentification multifacteur ou la complexité des mots de passe pour tous les employés
- Répondre aux critères de conformité pouvant s'appliquer à votre entreprise
Google Workspace et Cloud Identity sont des produits Google qui vous permettent de répondre à ces exigences et de gérer les identités et les stratégies de manière centralisée.
Si vous utilisez les services Google dans un contexte hybride ou multicloud, vous devrez peut-être intégrer les fonctionnalités IAM de Google à des solutions de gestion des identités externes ou à des fournisseurs d'identité tels qu'Active Directory. Le document Architectures de référence explique comment Google Workspace ou Cloud Identity vous permettent de réaliser une telle intégration.
Certains de vos employés peuvent utiliser des comptes Gmail ou d'autres comptes utilisateur personnels pour accéder aux ressources de l'entreprise. Or, l'utilisation de ce type de comptes utilisateur peut ne pas être conforme à vos stratégies ou exigences individuelles. Vous pouvez donc migrer ces utilisateurs vers Google Workspace ou Cloud Identity. Pour en savoir plus, consultez les pages Évaluer les comptes utilisateur existants et Évaluer les plans d'intégration.
Pour vous aider à adopter Google Workspace ou Cloud Identity, consultez nos guides sur l'évaluation et la planification afin d'obtenir des conseils sur la manière d'accéder à vos exigences et de concevoir le processus d'adoption.
Gérer les identités d'application
Les identités d'application sont les identités que vous gérez afin de permettre aux applications d'interagir avec d'autres applications ou avec la plate-forme sous-jacente.
Dans le contexte de la gestion des identités d'application, les conditions suivantes sont généralement requises :
- Intégrer des solutions d'authentification et des API tierces
- Activer l'authentification dans plusieurs environnements dans un scénario hybride ou multicloud
- Prévenir la fuite des identifiants
Google Cloud vous permet de gérer les identités d'application et de répondre à ces exigences à l'aide de comptes de service Google Cloud et de comptes de service Kubernetes. Pour en savoir plus sur les comptes de service et les bonnes pratiques d'utilisation de ceux-ci, consultez la page Comprendre les comptes de service.
Gérer les identités client
Les identités client sont les identités que vous gérez pour permettre aux utilisateurs d'interagir avec votre site Web ou avec vos applications destinées aux clients. La gestion des identités client et de leur accès est également appelée gestion de l'authentification et des accès client (CIAM, Customer Identity and Access Management).
Dans le contexte de la gestion des identités client, les conditions suivantes sont généralement requises :
- Laisser les clients créer un compte, mais se prémunir contre les abus, ce qui peut impliquer la détection et le blocage de la création de comptes de bots
- Accepter la connexion aux réseaux sociaux et intégrer des fournisseurs d'identité tiers
- Accepter l'authentification multifacteur et appliquer certaines exigences de complexité des mots de passe
Identity Platform de Google vous permet de gérer les identités client et de répondre à ces exigences. Pour en savoir plus sur l'ensemble de ses fonctionnalités et sur l'intégration d'Identity Platform avec vos applications personnalisées, consultez la documentation Identity Platform.
Gestion des accès
La gestion des accès se concentre sur les processus suivants :
- Accorder ou révoquer l'accès des identités à des ressources spécifiques
- Gérer les rôles et les autorisations
- Déléguer des fonctionnalités d'administration à des personnes de confiance
- Appliquer le contrôle des accès
- Auditer les accès effectués par des identités
Gérer l'accès aux services Google.
Votre organisation peut s'appuyer sur une combinaison de services Google. Par exemple, vous pouvez utiliser Google Workspace pour collaborer, Google Cloud pour déployer des charges de travail personnalisées et Google Analytics pour mesurer les métriques de réussite publicitaire.
Google Workspace ou Cloud Identity vous permettent de contrôler de manière centralisée les identités d'entreprise qui peuvent utiliser les différents services Google. En limitant l'accès à certains services, vous définissez un niveau de contrôle des accès de base. Vous pouvez ensuite configurer un contrôle des accès plus précis à l'aide des fonctionnalités de gestion des accès de chaque service.
Pour plus d'informations, lisez l'article expliquant comment contrôler qui peut accéder à Google Workspace et aux services Google.
Gérer l'accès à Google Cloud
Dans Google Cloud, vous pouvez utiliser IAM pour définir de manière plus précise l'accès des identités d'entreprise à des ressources spécifiques. En utilisant IAM, vous pouvez mettre en œuvre le principe de sécurité du moindre privilège, selon lequel vous n'accordez à ces identités que les autorisations d'accès aux ressources que vous spécifiez.
Pour en savoir plus, consultez la documentation IAM.
Gérer l'accès à vos charges de travail et applications
Vos charges de travail et applications personnalisées peuvent varier en fonction de l'audience à laquelle elles sont destinées :
- Certaines charges de travail peuvent s'adresser aux utilisateurs de l'entreprise, comme les systèmes de gestion de contenu, les tableaux de bord ou les applications métier.
- D'autres applications peuvent s'adresser à vos clients, comme votre site Web, un portail en libre-service ou les backends d'applications mobiles.
La meilleure façon de gérer et d'auditer les accès et d'appliquer le contrôle des accès dépend de l'audience et de la manière dont vous déployez l'application.
Pour en savoir plus sur la protection des applications et des autres charges de travail destinées aux utilisateurs d'entreprise, consultez la documentation IAP.
Vous pouvez également Intégrer directement Se connecter avec Google ou utiliser des protocoles standards tels que OAuth 2.0 ou OpenID Connect.
Pour savoir comment appliquer l'accès aux API, consultez la documentation Istio et Cloud Endpoints. Vous pouvez utiliser les deux produits, que vos applications s'adressent aux utilisateurs de l'entreprise ou aux utilisateurs finaux.
Étapes suivantes
- Découvrez les concepts et les fonctionnalités de la gestion des identités en consultant la section Concepts.
- Découvrez les conseils normatifs à prendre en compte dans votre architecture ou votre conception en consultant la section Bonnes pratiques.
- Découvrez comment évaluer vos besoins et identifier une conception adaptée en consultant la section Évaluer et planifier.