Menu

Automatiser le provisionnement des comptes utilisateur dans les applications cloud

Problématique métier

Les entreprises intègrent de plus en plus d'applications cloud dans leurs flux de travail quotidiens. Chaque application cloud dispose d'une liste d'utilisateurs qui bénéficient d'ensembles de privilèges. Au fur et à mesure que les utilisateurs rejoignent ou quittent l'entreprise, un administrateur doit provisionner leurs comptes ou annuler leur provisionnement dans toutes les applications appropriées.

Cela signifie que les services informatiques gèrent les ID et les mots de passe utilisateur associés aux différentes applications cloud de manière individuelle. Grâce au provisionnement automatisé, les employés ont accès aux outils dont ils ont besoin dès leur première journée de travail. Les entreprises souhaitent également pouvoir annuler le provisionnement du compte d'un utilisateur pour toutes les applications cloud lorsque celui-ci quitte l'entreprise, afin de réduire les éventuels risques de sécurité.

Votre entreprise souhaite réduire le surcoût administratif lié à la gestion des utilisateurs dans les applications cloud tierces individuelles dont se servent ses employés. L'objectif est d'automatiser le provisionnement des comptes utilisateur afin de créer, de mettre à jour ou de supprimer des informations de profil utilisateur de manière centralisée, et d'appliquer les modifications automatiquement dans toutes les applications cloud.

Solutions

Il existe des alternatives Cloud Identity et tierces pour mettre en œuvre le provisionnement automatisé.

Provisionnement automatisé par Cloud Identity

Cloud Identity propose un catalogue de connecteurs de provisionnement automatisé, qui font le lien entre Cloud Identity et les applications cloud tierces.

Une fois que vous avez configuré SAML pour l'authentification unique (SSO, Single Sign-on), vous pouvez configurer le provisionnement automatisé des comptes utilisateur pour créer, modifier ou supprimer l'identité d'un utilisateur dans vos applications cloud. Les administrateurs peuvent autoriser Cloud Identity à synchroniser un sous-ensemble de leurs utilisateurs Cloud Identity avec une ou plusieurs applications compatibles.

Avantages

  • Assure le cycle de vie complet des comptes utilisateur en créant, en mettant à jour, en supprimant ou en suspendant des profils utilisateur.
  • Assure la gestion complète du cycle de vie des applications en permettant aux entreprises de centraliser l'ajout ou la suppression des applications dans leur organisation.
  • Offre une expérience utilisateur cohérente pour toutes les applications compatibles, avec par exemple la création de rapports unifiée, les journaux d'audit et le suivi détaillé des événements.

Provisionnement opportun par des tiers

Il est possible d'automatiser le provisionnement de nombreuses applications compatibles avec SAML via le provisionnement opportun (JIT, Just-In-Time). Certains fournisseurs de services configurent leurs applications SAML de sorte que, lorsqu'un utilisateur accède à leur application, celle-ci vérifie si l'utilisateur dispose d'un compte. Dans le cas contraire, un compte est créé pour lui.

Avantages

  • JIT nécessite moins d'opérations de configuration, car seule l'application SAML doit être configurée.
  • Les clients peuvent inciter les fournisseurs de services à assurer le provisionnement JIT des comptes pour les applications pour lesquelles Cloud Identity ne dispose pas actuellement de connecteurs de provisionnement automatisé.

Inconvénients

  • JIT ne permet pas l'annulation du provisionnement des comptes utilisateur, ce qui nécessite de supprimer manuellement les licences d'application des utilisateurs qui quittent une entreprise.
  • Les applications cloud tierces ne sont pas toutes compatibles avec le provisionnement JIT.
  • Par comparaison avec les connecteurs de provisionnement automatisé Cloud Identity qui sont cohérents, les connecteurs tiers peuvent varier dans leur mode de fonctionnement, ainsi que dans les rapports et les journaux qu'ils fournissent.

Recommandations

Lorsqu'une application est compatible avec le provisionnement automatisé des comptes dans le catalogue SAML Cloud Identity, nous vous recommandons d'utiliser le connecteur de provisionnement automatisé Cloud Identity.

Si le connecteur de provisionnement automatisé dont vous avez besoin ne figure pas dans le catalogue, développez-le en collaborant avec votre fournisseur de services. Si ce dernier accepte JIT, il s'agit également d'une option possible. Toutefois, JIT ne gère généralement que la création des profils utilisateur et ne s'occupe pas de la mise à jour, de la suspension ni de la suppression des profils.

Fournisseurs d'identité tiers

Si vous disposez d'un fournisseur d'identité (IdP, Identity Provider) tiers, vous pouvez toujours configurer le provisionnement automatisé des comptes utilisateur pour des applications tierces dans le catalogue Cloud Identity. L'authentification des utilisateurs se produit dans l'IdP tiers, et Cloud Identity gère les applications cloud.

Si vous voulez mettre en œuvre le provisionnement automatisé avec Cloud Identity, vos utilisateurs ont besoin de comptes Cloud Identity. Ils se connectent via votre IdP tiers ou à l'aide d'un mot de passe dans leurs comptes Cloud Identity.

Exemple

L'entreprise A utilise Cloud Identity comme IDP principal. Elle se sert également de produits SaaS (Software as a Service) pour la gestion de la relation client (CRM), la messagerie et la gestion des demandes de support des clients. Elle souhaite automatiser le provisionnement des comptes utilisateur et l'annulation de leur provisionnement dans ces applications cloud en prenant Cloud Identity comme solution SSOT (Single Source of Truth).

Le jour de leur arrivée dans l'entreprise A, tous les employés du service Support obtiennent automatiquement une licence pour l'application de gestion des demandes de support des clients. Tous les commerciaux bénéficient, quant à eux, d'une licence pour l'application CRM. Par ailleurs, tout le monde dispose de l'application de messagerie.

Le service informatique de l'entreprise A veut s'assurer que seul le bon groupe de personnes de l'organisation cliente peut accéder à certaines applications tierces. Cela implique de synchroniser des profils utilisateur de Cloud Identity avec toutes les applications tierces associées qui sont attribuées à des utilisateurs particuliers.

Lorsqu'un utilisateur perd l'accès à une application (il quitte l'entreprise ou n'a plus besoin de l'application), son profil est automatiquement supprimé des applications tierces associées pertinentes. Cela évite de bloquer des licences.

Le service informatique configure ses applications cloud pour le provisionnement automatisé :

  • Dressez la liste des applications cloud utilisées par les employés.
  • Recherchez ces applications dans les catalogues de provisionnement automatisé des comptes utilisateur et SAML Cloud Identity.
  • Configurez la SSO pour ces applications. Pour ce faire, activez-la application par application (si la SSO n'est pas déjà configurée).
  • Configurez le provisionnement automatisé des comptes utilisateur pour les applications.

Flux de provisionnement automatisé

L'entreprise A embauche Maria. Avant son premier jour de travail, un administrateur l'ajoute à Cloud Identity en lui créant un compte. L'administrateur l'ajoute également à une organisation. Maria peut alors accéder aux applications cloud attribuées à cette organisation.

Cloud Identity réplique l'identité de Maria dans toutes ces applications cloud.

Connectez-vous aux applications cloud via la SSO.

Le jour de son arrivée, Maria se connecte à Cloud Identity. Grâce à la SSO, elle peut accéder aux applications cloud dont elle a besoin à l'aide de ses identifiants Cloud Identity.

Connectez-vous aux applications cloud via la SSO.

Cette page vous a-t-elle été utile ? Évaluez-la :