Automatiser le provisionnement des comptes utilisateur dans les applications cloud

Problématique métier

Les entreprises intègrent de plus en plus d'applications cloud dans leurs workflows quotidiens. Chaque application cloud dispose d'une liste d'utilisateurs qui bénéficient d'ensembles de privilèges. Lorsque les utilisateurs rejoignent ou quittent l'entreprise, ils doivent être provisionnés ou annulés dans toutes les applications appropriées.

Cela signifie que les services informatiques gèrent les ID et les mots de passe utilisateur associés aux différentes applications cloud de manière individuelle. Lorsque le provisionnement est automatisé, les employés ont accès aux outils dont ils ont besoin dès leur première journée de travail. Les entreprises souhaitent également pouvoir annuler le provisionnement du compte d'un utilisateur pour toutes les applications cloud lorsque celui-ci quitte l'entreprise, afin de réduire les éventuels risques de sécurité.

Votre entreprise souhaite réduire le surcoût administratif lié à la gestion des utilisateurs dans les applications cloud tierces individuelles dont se servent ses employés. L'objectif est d'automatiser le provisionnement des comptes utilisateur afin de créer, de mettre à jour ou de supprimer des informations de profil utilisateur de manière centralisée, et d'appliquer les modifications dans toutes les applications cloud.

Solutions

Il existe des alternatives Cloud Identity et tierces pour mettre en œuvre le provisionnement automatisé.

Provisionnement automatisé par Cloud Identity

Cloud Identity dispose d'un catalogue de connecteurs de provisionnement automatisé, qui servent de pont entre Cloud Identity et les applications cloud tierces.

Une fois que vous avez configuré SAML pour l'authentification unique (SSO, Single Sign-On), vous pouvez configurer le provisionnement automatisé des comptes utilisateur pour créer, modifier ou supprimer l'identité d'un utilisateur dans vos applications cloud. Les administrateurs peuvent autoriser Cloud Identity à synchroniser un sous-ensemble de leurs utilisateurs Cloud Identity avec une ou plusieurs applications compatibles.

Avantages

  • Assure le cycle de vie complet des comptes utilisateur en créant, en mettant à jour, en supprimant ou en suspendant des profils utilisateur.
  • Assure la gestion complète du cycle de vie des applications en permettant aux entreprises de centraliser l'ajout ou la suppression des applications dans leur organisation.
  • Offre une expérience utilisateur cohérente pour toutes les applications compatibles, avec par exemple la création de rapports unifiée, les journaux d'audit et le suivi détaillé des événements.

Provisionnement opportun par des tiers

Il est possible d'automatiser le provisionnement de nombreuses applications compatibles avec SAML via le provisionnement opportun (JIT, Just-In-Time). Certains fournisseurs de services configurent leur application SAML de sorte que, lorsqu'un utilisateur accède à leur application, il vérifie si l'utilisateur dispose déjà d'un compte. S'il ne possède pas de compte, un compte est créé pour lui.

Avantages

  • Nécessite nécessite moins d'opérations de configuration, car seule l'application SAML doit être configurée.
  • Les clients peuvent être en mesure d'influencer les fournisseurs de services afin d'assurer le fonctionnement du provisionnement JIT pour les applications pour lesquelles Cloud Identity ne dispose pas actuellement de connecteurs de provisionnement automatisé.

Inconvénients

  • La désactivation des comptes utilisateur n'est pas compatible, ce qui nécessite une intervention manuelle pour supprimer les licences des utilisateurs qui quittent une entreprise.
  • Les applications cloud tierces ne sont pas toutes compatibles avec le provisionnement JIT.
  • Par comparaison avec les connecteurs de provisionnement automatisé Cloud Identity qui sont cohérents, les connecteurs tiers peuvent varier dans leur mode de fonctionnement, ainsi que dans le contenu des rapports et des journaux qu'ils fournissent.

Recommandations

Lorsqu'une application est compatible avec le provisionnement automatisé des comptes dans le catalogue SAML Cloud Identity, nous vous recommandons d'utiliser le connecteur de provisionnement automatisé Cloud Identity.

Si le connecteur de provisionnement automatisé dont vous avez besoin ne figure pas dans le catalogue, développez-le en collaborant avec votre fournisseur de services. Si celui-ci accepte JIT, il s'agit également d'une option possible. Toutefois, il ne gère généralement que la création de profil utilisateur et ne traite pas de la mise à jour, de la suspension ou de la suppression du profil.

Fournisseurs d'identité tiers

Si vous disposez d'un fournisseur d'identité (IdP, Identity Provider) tiers, vous pouvez toujours configurer le provisionnement automatisé des comptes utilisateur pour des applications tierces dans le catalogue Cloud Identity. Dans ce cas, l'authentification des utilisateurs se produit dans l'IdP tiers, et Cloud Identity gère les applications cloud.

Si vous voulez mettre en œuvre le provisionnement automatisé avec Cloud Identity, vos utilisateurs ont besoin de comptes Cloud Identity. Ils se connectent via votre IdP tiers ou à l'aide d'un mot de passe dans leurs comptes Cloud Identity.

Exemple

L'entreprise A utilise Cloud Identity comme IDP principal. Elle se sert également de produits SaaS (Software as a Service) pour la gestion de la relation client (CRM, customer relationship management), la messagerie et la gestion des demandes des clients. Elle souhaite automatiser le provisionnement des comptes utilisateur et l'annulation de la gestion dans ces applications avec Cloud Identity en tant que source de données fiable (IdP).

Le jour de leur arrivée dans l'entreprise A, tous les employés de l'assistance obtiennent automatiquement une licence pour l'application de gestion des demandes des clients. Tous les commerciaux bénéficient, quant à eux, d'une licence pour l'application CRM.Par ailleurs, tout le monde dispose de l'application de messagerie.

Le service informatique de l'entreprise A souhaite s'assurer que seules les personnes adéquates de l'organisation cliente peuvent accéder à certaines applications tierces. Cela implique de synchroniser des profils utilisateur de Cloud Identity avec toutes les applications tierces associées qui sont attribuées à des utilisateurs particuliers.

Lorsqu'un utilisateur perd l'accès à une application (il quitte l'entreprise, n'a plus besoin de l'application), son profil est supprimé des applications tierces associées concernées afin que les licences ne soient pas bloquées.

Le service informatique configure ses applications cloud pour le provisionnement automatisé :

  • Dressez la liste des applications cloud utilisées par les collaborateurs.
  • Recherchez ces applications dans les catalogues de provisionnement automatisé des comptes utilisateur et SAML Cloud Identity.
  • Configurez la SSO pour ces applications. Pour ce faire, activez-la application par application (si la SSO n'est pas déjà configurée).
  • Configurez le provisionnement automatisé des comptes utilisateur pour les applications.

Flux de provisionnement automatisé

L'entreprise A embauche Maria. Avant son premier jour de travail, un administrateur l'ajoute à Cloud Identity en lui créant un compte. L'administrateur l'ajoute également à une organisation. Maria pourra accéder aux applications cloud attribuées à cette organisation.

Cloud Identity réplique l'identité de Maria dans toutes ces applications cloud.

Connectez-vous aux applications cloud via la SSO.

Le jour de son arrivée, Maria se connecte à Cloud Identity. Grâce à la SSO, elle peut accéder aux applications cloud dont elle a besoin à l'aide de ses identifiants Cloud Identity.

Connectez-vous aux applications cloud via la SSO.