Ce diaporama a bien été signalé.
Le téléchargement de votre SlideShare est en cours. ×

Gestion des identités : par où commencer ?

Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité

Consultez-les par la suite

1 sur 66 Publicité
Publicité

Plus De Contenu Connexe

Plus par Identity Days (20)

Publicité

Gestion des identités : par où commencer ?

  1. 1. Gestion des identités : par où commencer ? Bertrand CARLIER 27 octobre 2022 - PARIS Identity Days 2022 Et comment ne pas se planter
  2. 2. Bertrand Carlier Senior Manager @ Wavestone Membre fondateur de IDPro • Formé en génie logiciel • Décortique et ré-empaquette ses premiers jetons SAML en 2005 • Prosélyte décomplexé des standards ouverts • Bilingue OAuth2 et OpenID Connect • Les bases de l’IAM : • Les identités • Les droits • Le contrôle d’accès • Mais pas que • Les bases d’un projet IAM • Ce qu’il ne faut pas faire • Ce qu’il faut faire (peut-être) • Quelques mèmes • Pas de bullshit AGENDA 27 octobre 2022 - PARIS Identity Days 2022
  3. 3. Qu’est-ce que l’IAM? Identity Days 2022 27 octobre 2022 - PARIS
  4. 4. Identity Days 2022 27 octobre 2022 - PARIS Qu’est-ce que l’IAM
  5. 5. Identity Days 2022 27 octobre 2022 - PARIS Qu’est-ce que l’IAM
  6. 6. Identity Days 2022 27 octobre 2022 - PARIS Qu’est-ce que l’IAM
  7. 7. sf Identity Days 2022 27 octobre 2022 - PARIS Qu’est-ce que l’IAM
  8. 8. [click here to add text or image] KEEP CALM AND FOLLOW THE RECIPE
  9. 9. Connaître ses référentiels Identity Days 2022 27 octobre 2022 - PARIS
  10. 10. Identity Days 2022 27 octobre 2022 - PARIS Connaître ses référentiels IAM Active Directory Shared authn/authz directory Azure AD sf HR/payroll Procurement B2B portal
  11. 11. Identity Days 2022 27 octobre 2022 - PARIS The basics Quels sont vos référentiels ? - Les applications s’appuient-elles sur Active Directory ou un autre annuaire d’identités centralisé ? - Peut-on cartographier toutes les applications clés ? - Suites collaboratives (O365, G- Suite, Slack, etc.) - HR, ERP, Finance, Marketing, Achats, Production, Supply Chain, etc. Comment sont-ils reliés ? - Où sont les sources autoritaires pour les données d’identité ? - Quel référentiel est autoritaire sur lequel ? - Pour les employés, les prestataires, les partenaires business - Pour des attributs spécifiques (identifiants, adresses email, etc.) Un annuaire cloud ou un annuaire pour le cloud ? Comment alimentez-vous les applications cloud en données d’identité ? - Just in time provisioning ? - Synchronisation d’annuaire ? - SCIM ? The next step Connaître ses référentiels
  12. 12. sf 27 octobre 2022 - PARIS Connaître ses référentiels Identity Days 2022
  13. 13. 27 octobre 2022 - PARIS Identity Days 2022 sf Active Directory Azure AD or Cloud directory? Shared authn/authz directory Connaître ses référentiels
  14. 14. Connaître ses identités Identity Days 2022 27 octobre 2022 - PARIS
  15. 15. Identity Days 2022 27 octobre 2022 - PARIS The basics Corrélez TOUS les comptes - Une première fois et puis régulièrement - Assurez-vous que les utilisateurs n’aient qu’un compte standard par application - Faites une revue des comptes à privilèges - Reliez les comptes de service à un responsable - Désactivez les comptes inutilisés - Débarrassez vous autant que possible des comptes partagés et activez la traçabilité Maîtrisez les entrées/sorties - Identifier la source autoritaire pour la création et la gestion du statut. - Ça doit ruisseler ! - Ne comptez pas sur la ponctualité de la paie - Ne comptez pas sur les managers pour déclarer un départ - Imposez une date de fin aux prestataires - Détectez les comptes inutilisés Des identités pour TOUT - Non seulement pour chaque utilisateur mais également pour toute entité accédant à une ressource (applications, serveurs, devices, etc.) - Toutes ces identités doivent voir leur cycle de vie contrôlé et maîtrisé - Des attributs d’identité maîtrisés et en qualité The next step Connaître ses identités
  16. 16. Identity Days 2022 27 octobre 2022 - PARIS sf Active Directory Azure AD or Cloud directory? Share authn/authz directory Connaître ses identités
  17. 17. Identity Days 2022 27 octobre 2022 - PARIS sf Active Directory HR/payroll Shared authn/authz directory IAM Azure AD or Cloud directory? partners corporate users Procurement B2B portal Connaître ses identités
  18. 18. Connaître ses droits Identity Days 2022 27 octobre 2022 - PARIS
  19. 19. Identity Days 2022 27 octobre 2022 - PARIS The basics Déployer RBAC - Construire un modèle de rôle adapté à l’entreprise (et non aux organisations) : - Quelques rôles pour une application standard - Des rôles métiers contenant des rôles applicatifs - Les utilisateurs terrain ont principalement des rôles auto- assignés Connaître ses droits
  20. 20. Identity Days 2022 27 octobre 2022 - PARIS The basics Déployez RBAC et peut-être ABAC - Construire un modèle de rôle adapté à l’entreprise (et non aux organisation) : - Quelques rôles pour une application standard - Des rôles métiers contenant des rôles applicatifs - Les utilisateurs terrain ont surtout des rôles auto-assignés - Appliquer le principe du moindre privilège - Puis, ABAC peut être intéressant : - Nécessite un bon niveau de maturité - Nécessite des données irréprochables - Les attributs concernés deviennent critiques d’un point de vue sécurité Recertifiez les droits des utilisateurs - Envisager une recertification périodique par application en commençant par les plus risqués et sensibles - Envisager un recertification par le manager lors des mouvements et périodiquement Gestion des droits assistée et prédictive - Aide les utilisateurs à demander des droits pertinents - Aide les valideurs à se concentrer sur les demandes sortant du standard - Aide les auditeurs à détecter les utilisateurs sortant du profil type The next step Connaître ses droits
  21. 21. Identity Days 2022 27 octobre 2022 - PARIS sf Active Directory HR/payroll Shared authn/authz directory IAM Azure AD or Cloud directory? partners corporate users Procurement B2B portal Connaître ses droits
  22. 22. Identity Days 2022 27 octobre 2022 - PARIS sf Active Directory HR/payroll Shared authn/authz directory IAM Azure AD or Cloud directory? partners corporate users Procurement B2B portal Connaître ses droits
  23. 23. Maîtriser les accès Identity Days 2022 27 octobre 2022 - PARIS
  24. 24. Identity Days 2022 27 octobre 2022 - PARIS The basics Centralisez - Déléguez l’authentification à un Identity Provider spécialisé - Raccordez vos applications avec des standards comme SAML, OpenID Connect, OAuth2 Authentification multi-facteur - Implémentez du MFA sur l’Identity Provider - Déployez le MFA pour tous vos utilisateurs B2E/B2B - Visez de bons niveaux sécurité ET d’ergonomie (pensez FIDO2, pensez phishing resistant, pensez adaptatif) Maîtriser les accès
  25. 25. Identity Days 2022 27 octobre 2022 - PARIS sf Active Directory HR/payroll Shared authn/authz directory IAM Azure AD or Cloud directory? partners corporate users Procurement B2B portal Maîtriser les accès
  26. 26. Identity Days 2022 27 octobre 2022 - PARIS Maîtriser les accès sf Active Directory HR/payroll Shared authn/authz directory IAM Azure AD or Cloud directory? partners corporate users Procurement B2B portal
  27. 27. Identity Days 2022 27 octobre 2022 - PARIS Maîtriser les accès sf Active Directory HR/payroll Shared authn/authz directory IAM Azure AD or Cloud directory? partners corporate users Procurement B2B portal Corporate devices Third-party devices IoT devices API Gateway MFA Single Sign- On PKI Identity Provider OAuth2 OpenID Connect SAML
  28. 28. Identity Days 2022 27 octobre 2022 - PARIS The basics Centralisez - Déléguez l’authentification à un Identity Provider spécialisé - Raccordez vos applications avec des standards comme SAML, OpenID Connect, OAuth2 Authentification multi-facteur - Implémentez du MFA sur l’Identity Provider - Déployez le MFA pour tous vos utilisateurs B2E/B2B - Visez de bons niveaux sécurité ET d’ergonomie (pensez FIDO2, pensez adaptatif) Visez le passwordless - Supprimez le mot de passe partout où cela est possible - Certaines populations spécifiques se prêtent bien à cette tendance (eg. travailleurs sur le terrain, clients finaux) The next step Maîtriser les accès
  29. 29. Identity Days 2022 27 octobre 2022 - PARIS En résumé 1 Connaître ses référentiels 2 Connaître ses identités 3 Connaitre ses droits 4 Maîtriser les accès 5 Comment déployer?
  30. 30. Comment déployer? Identity Days 2022 27 octobre 2022 - PARIS
  31. 31. J’ai échoué à déployer… de nombreuses fois et pour de nombreuses raisons… Identity Days 2022 27 octobre 2022 - PARIS
  32. 32. Quelles sont les difficultés régulièrement rencontrées ? Identity Days 2022 27 octobre 2022 - PARIS
  33. 33. Un projet IAM vise souvent à traiter une obsolescence Et puis cela devient l’occasion de revisiter les besoins Identity Days 2022 27 octobre 2022 - PARIS Gérer de nouveaux types d’identités Proposer une interface mobile/responsive Mettre le manager au centre des processus IAM Intégrer des référentiels de données plus récents Intégrer les nouveautés du SI Améliorer l’UX Étendre l’IAM à toutes les entités S’intégrer à l’ITSM Améliorer les performances Gérer l’obsolescence d’autres composants Être plus agile et plus réactif Simplifier les workflows Mieux intégrer les processus Être en conformité en mettant en place des revues de droits Gérer l’accès à la suite collaborative Entrainant un déséquilibre entre les attentes et le budget disponible
  34. 34. Identity Days 2022 27 octobre 2022 - PARIS 1er déséquilibre : “Ce n’est que de l’obsolescence” • Tenter d’améliorer ou remplacer la solution existante sans considérer les changements technologiques du SI ou les changements de contexte de l’entreprise sous-estime grandement des aspects critiques d’un projet IAM : • Différence technologique entre deux générations de solutions IAM • Perte de savoir sur ce qui est réellement déployé en production • Pas de différence entre les customisations liées à un réel besoin fonctionnel ou celles liées à une fonctionnalité manquante du produit • Impact utilisateur et donc conduite du changement Enterprise context Business and IT requirements IAM ambition Organization & IAM Processes Technical solution AD ERP HR IS Collab. tools Technical solution Parameterization / configuration / customizations Integration with the whole IS
  35. 35. Identity Days 2022 27 octobre 2022 - PARIS 2ème déséquilibre : “C’est l’occasion de faire mieux” • Avec plus d’ambition, l’objectif est de faire évoluer l’implémentation mais toujours sans remettre en cause les principes IAM et le contexte de l’entreprise • Cela suppose que la solution est actuellement globalement satisfaisante vis-à-vis des utilisateurs et de l’ensemble des acteurs IAM • La solution IAM n’est pas un monolithe de dette technique. Elle a été maintenue et a évolué pour suivre les évolution du SI et de l’organisation • Les ambitions initiales, l’organisation et les processus IAM sont toujours pertinents • Le contexte de l’entreprise, métier et IT n’ont pas à être challengés Enterprise context Business and IT requirements IAM ambition Organization & IAM Processes Technical solution AD ERP HR IS Collab. tools Technical solution Parameterization /configuration/ customizations Integration with the whole ISS Parameterization / configuration / customizations Integration with the whole IS
  36. 36. Identity Days 2022 27 octobre 2022 - PARIS Il ne s’agit pas d’améliorer. Il s’agit de s’adapter aux changements passés et à venir • Bien souvent, la solution IAM est en décalage avec des évolutions profondes qui n’ont pas été anticipées ni suivies : • Nouveaux besoins liés à la réglementation ou des audits • Adaptations aux changements de l’organisation, à la rationalisation de l’infrastructure • Prise en compte du nouveau paysage applicatif • S’inscrire dans une démarche cloud-first • … • Il faut alors redéfinir et partager des ambitions IAM avec les impacts d’organisation et de processus et enfin correctement définir le périmètre du projet Contexte de l’Entreprise Besoins métier et SI L’ambition IAM Organisation & Processus IAM Technical solution AD ERP SI RH Collab. Technical solution Paramétrage fonctionnel / personnalisation Intégration dans le SI Parameterization / configuration / customizations Integration with the whole IS Enterprise context Business and IT requirements AD HR IS Collab. tools IAM ambition Organization & IAM Processes
  37. 37. Quelle organisation? Identity Days 2022 27 octobre 2022 - PARIS
  38. 38. Identity Days 2022 Un projet IAM est une transformation majeure dont il ne faut pas sous-estimer les impacts New authorization modelling Data repository & data cleansing New processes & Change management IS interactions & other dependencies IAM solution renewal 27 octobre 2022 - PARIS Identity Days 2022
  39. 39. Identity Days 2022 Un projet IAM est une transformation majeure dont il ne faut pas sous-estimer les impacts New authorization modelling Data repository & data cleansing New processes & Change management IS interactions & other dependencies IAM solution renewal 27 octobre 2022 - PARIS
  40. 40. Identity Days 2022 Un projet IAM est une transformation majeure dont il ne faut pas sous-estimer les impacts Un projet IAM est une transformation majeure nécessitant une organisation de programme New authorization modelling Data repository & data cleansing New processes & Change management IS interactions & other dependencies IAM solution renewal 27 octobre 2022 - PARIS
  41. 41. Un projet IAM est une transformation majeure nécessitant une organisation de programme IAM solution renewal New authorization modelling Data repository & data cleansing New processes & Change management IS interactions & other dependencies Program leader PMO Design authority IAM policies Identity Days 2022 27 octobre 2022 - PARIS Service opening rendezvous
  42. 42. Un projet IAM est une transformation majeure nécessitant une organisation de programme Un projet IAM est une transformation majeure nécessitant un sponsor et une ambition affichée IAM solution renewal New authorization modelling Data repository & data cleansing New processes & Change management IS interactions & other dependencies Program leader PMO Design authority IAM policies Executive Sponsor Ambition Identity Days 2022 27 octobre 2022 - PARIS Service opening rendezvous
  43. 43. Et pourquoi pas un détour? Identity Days 2022 27 octobre 2022 - PARIS
  44. 44. Identity Days 2022 27 octobre 2022 - PARIS Other IT systems Master data repository Identity management Access management AuthZ Directory HR repository IAM for IT White Pages Apps not covered by IdM ID lifecycle management Authorization management Provisioning Users Managers / Data owner / App owners ITSM / ticketing Self-service Federation & access ctrl Applications Database Strong auth & multifactor Operations Access Identity Analytics & Intelligence Data analysis & dashboards Advanced SOD Data warehouse Access Review Monitoring & control Data warehouse strategy • Less intrusive • Flexible • Simulation • Feedback loop Décommissionner le legacy est-il la priorité?
  45. 45. Le legacy est-il utile transitoirement pour permettre la migration ? Identity Days 2022 27 octobre 2022 - PARIS Legacy systems Master data repository HR repository Mainframe RACF Would-be legacy applications Identity management ID lifecycle Authz. mngt Provisioning Legacy IAM Connectors Modern apps Modern apps Data analysis & dashboards Advanced SOD Data warehouse Access Review New IGA Users Managers / data owners / App owners ID lifecycle management Authorization management Provisioning Self-service ITSM API API std API
  46. 46. TITRE Contenus Sous-titre Identity Days 2022 • • • 27 octobre 2022 - PARIS
  47. 47. Identity Days 2022 27 octobre 2022 - PARIS Merci !
  48. 48. Merci à tous nos partenaires ! 27 octobre 2022 - PARIS @IdentityDays #identitydays2022

×