La gestion des utilisateurs et des accès dans le cloud : nouveau défi des entreprises ?

Surmonter les challenges associés à la gestion de l’authentification et des comptes pour les applications cloud ? Plus facile à dire qu’à faire !

Avec la poursuite de l’expansion du cloud dans le monde commercial et le déploiement massif de services “dans le nuage” comme Google Apps, Salesforce, GoToMeeting et Office 365, la façon de travailler via des applications cloud impacte directement la gestion des utilisateurs et des accès qui doivent être, comme dans tout environnement de travail, gérées et maitrisées.
Contrôler les utilisateurs ayant accès à des applications spécifiques et aux données correspondantes s’avère souvent plus complexe avec les applications cloud qu’avec un intranet de bureau classique. Les fournisseurs de solutions cloud donnent souvent peu de priorité au développement d’une meilleure gestion des comptes utilisateur et des droits d’accès dans leurs applications ; ils sont bien trop occupés à développer de nouvelles fonctionnalités orientées sur le métier de leurs utilisateurs.
Par conséquent, la gestion des utilisateurs et des accès dans les applications cloud met l’entreprise face à un certain nombre de challenges tels que :

1. Mettre en place une authentification unique

Active Directory est le maillon central pour permettre l’accès des utilisateurs aux applications et aux systèmes. Les applications traditionnelles sur le réseau local, comme le LDAP, ont souvent une intégration spécifique, avec le répertoire central des comptes utilisateurs. Travailler avec des applications cloud implique davantage de sources d’authentification. En complément du mot de passe qui permet de se connecter au réseau de l’entreprise, les utilisateurs doivent également mémoriser leurs identifiants de connexion pour chaque application cloud utilisée. Et l’entreprise se retrouve face à l’éternel problème de la multiplication des mots de passe et des identifiants…
Peu de solutions sont disponibles pour synchroniser des comptes utilisateurs entre les deux sources d’authentification (comme AD Federation Services de Microsoft et la norme SAML). Elles permettent que les utilisateurs se connectent de façon transparente aux applications cloud. Toutefois, “Federation Service” ne remplace pas le provisionnement et la gestion de base des comptes utilisateurs.
La maintenance des rôles au sein d’une application cloud et l’association des comptes à l’authentification centrale reste une tâche fondamentale grâce à laquelle l’accès aux données spécifiques est régulé.
Une solution d’authentification unique (SSO) pour le cloud devient alors particulièrement utile dans cette configuration. Les solutions SSO pour le cloud basent les identifiants de connexion sur ceux qui existent déjà dans l’Active Directory. Cela permet à l’utilisateur de se connecter à l’ensemble de ses applications cloud à l’aide de ses seules informations d’identification AD. Résultat un identifiant unique pour se connecter à toutes ses applications !

2. Limiter les traitements manuels

Certains éditeurs ne prennent pas en charge “Federation Service”, en particulier les éditeurs de solutions d’ e-learning et de SIRH. Aussi proposent-ils souvent un navigateur web que les managers peuvent utiliser pour contrôler l’accès à l’application cloud directement. Toutefois, il n’y a pas de provisionnement automatique et cela nécessite toute une série d’opérations manuelles. Ce processus, outre le fait qu’il est chronophage, est source également de nombreux risques d’erreurs. De même, lorsqu’il est possible d’importer un simple fichier CSV dans l’application cloud, il reste nécessaire que le manager de l’application intervienne manuellement. Cela peut entraîner beaucoup de travail inutile.
Par exemple, considérons la procédure mise en place lors du départ d’un collaborateur de l’entreprise. Cette procédure se déroule souvent en plusieurs étapes : en premier lieu, l’accès au réseau par l’utilisateur est supprimé, puis le compte est supprimé et les données sont transférées à un autre. Enfin, une notification est envoyée par e-mail au manager. Toutes ces phases nécessitent une opération manuelle distincte pour la gestion des utilisateurs dans l’application cloud. Dans ce cas, une solution de gestion des comptes automatisée allège significativement le processus. Une telle solution synchronise les comptes utilisateurs par l’intermédiaire du SIRH, afin que toute modification apportée au SIRH, comme la désactivation d’un utilisateur, soit automatiquement synchronisée avec tous les comptes connectés dans toutes les applications.

3. Simplifier les conventions de nommage et de mots de passe

Les protocoles gouvernant les normes de nommage et les mots de passe manquent souvent de cohérence entre les réseaux et les applications cloud. Sur le réseau, un ID utilisateur peut être basé sur un nom d’identifiant, et dans le cloud, ce peut être l’adresse e-mail. Cela complique l’échange des détails des comptes utilisateur entre les environnements et, dans de nombreux cas, les différences s’appliquent aussi aux protocoles régissant les mots de passe.
Alors que des mots de passe extrêmement complexes peuvent être nécessaires sur le réseau d’entreprise, les applications cloud ne proposent pas toujours de gérer ce type de mot de passe.
Il est également possible que l’application cloud exige une durée de renouvellement de mot de passe différente de celle du réseau d’entreprise. La synchronisation des mots de passe entre le réseau et les applications cloud peut se révéler extrêmement difficile. Dans ce cas, les solutions automatisées sont utiles car elles offrent la possibilité de faire appliquer une convention de nommage standard dans toutes les applications tout en permettant l’unicité lorsque plusieurs employés ont le même nom.
Une solution SSO d’entreprise atténue les problèmes de complexité de mot de passe en « se souvenant » du mot de passe de l’utilisateur et en le fournissant automatiquement à chaque fois que l’utilisateur se connecte à l’application. Par ailleurs, une application SSO peut également réinitialiser régulièrement le mot de passe en arrière-plan ou inviter l’utilisateur à le faire, à l’expiration du mot de passe.

4. Transférer la structure organisationnelle au sein des applications cloud

La structure hiérarchique du reporting dans une organisation est souvent utilisée pour attribuer les autorisations aux employés en fonction de leur rôle ou position, ce que l’on appelle souvent le contrôle d’accès en fonction du rôle (RBAC). Au sein du réseau d’entreprise, cette structure est contenue dans un système de RH ou au sein d’Active Directory.
Les applications cloud ne peuvent généralement pas traduire cette structure organisationnelle et la fonctionnalité de provisionnement Web qu’elles proposent n’offre pas de méthode solide pour incorporer ce niveau de détail. Bien entendu, il est possible de transférer l’ensemble de la structure organisationnelle dans l’application cloud, mais cela exige un énorme volume d’activité de management dès qu’un changement se produit dans la hiérarchie.
Le RBAC dans une solution automatisée de gestion des comptes devient alors utile dans cette situation. L’accès à divers composants des applications cloud va alors dépendre du rôle de l’utilisateur final dans l’organisation. De cette façon, l’accès est contrôlé en fonction du département ou du titre dans le système de RH.

5. Gérer les mises-à-jours en masse

Les mises à jour en masse sont régulièrement rejetées par les applications cloud. Prenons l’exemple des universités souhaitant créer un millier de comptes utilisateurs pour les étudiants dans une application cloud, un système d’e-learning par exemple. Certaines applications cloud imposent des restrictions sur le nombre d’actions pouvant être menées à la fois ou interdisent les activités de management pendant les heures ouvrées pour empêcher la surcharge de leur réseau.
Une application de provisionnement robuste peut adhérer aux règles de traitement imposées par les applications cloud en divisant le nombre de requêtes à traiter en une connexion et en en limitant l’exécution à certaines périodes spécifiques.
Contrairement aux idées reçues, travailler avec les applications cloud ne signifie pas forcément que les organisations perdent le contrôle de la gestion des utilisateurs et des accès. Il est tout à fait possible que les règles définies dans l’entreprise s’appliquent et non celles définies par les applications cloud.
La gestion des utilisateurs et des accès, loin d’être une préoccupation secondaire, est un élément critique car elle permet de simplifier les accès des utilisateurs à l’ensemble de leurs applications, quel que soit leur environnement (cloud ou non), de gagner en transparence et de favoriser indirectement le développement des applications cloud en entreprise. Des éditeurs proposent des solutions logicielles facilitant cette migration et cette intégration des applications cloud dans le SI de l’entreprise. Il serait dommage de ne pas en tirer toute la valeur ajoutée qu’elles représentent…