Annuaires utilisateurs et cloud - Vue d’ensemble.
"Dans la plupart des entreprises, les annuaires de type Microsoft Active Directory (AD) ou Lightweight Directory Access Protocol (LDAP) tels que SunOne ou Oracle Internet Directory jouent un rôle essentiel dans la coordination des politiques de gestion des identités et des accès. L’annuaire Active Directory ou LDAP fait généralement office de « source fiable » pour les identités des utilisateurs et permet de contrôler l’accès aux ressources on-premise : réseaux, serveurs de fichiers, applications web, etc.
Lorsque des applications on-premise sont intégrées avec Active Directory ou LDAP, les utilisateurs bénéficient d’une expérience optimale : ils se connectent une fois à leur domaine et ont ensuite accès à toutes les ressources dont ils ont besoin.
Les administrateurs, quant à eux, savent précisément qui a accès à quoi. Ce modèle est très répandu car il convient bien aux architectures basées sur un réseau local (où les applications sont mises à disposition à partir d’équipements protégés par un pare-feu).
Mais comme nous allons vous l’expliquer, cette approche trouve actuellement ses limites au vu de l’adoption massive du cloud — un changement de paradigme qui exige le recours à une nouvelle solution.
La multiplication des annuaires utilisateurs indépendants est l’une des conséquences de la migration vers les applications cloud : celles-ci sont généralement déployées séparément, et chacune possède sa propre base de données d’identifiants (voir figure 2).
Si l’on se limite à une ou deux applications, les désagréments sont mineurs, mais face au succès croissant des applications cloud, les administrateurs ont bien du mal à gérer des annuaires utilisateurs toujours plus nombreux. Et le problème ne fait que s’aggraver.
Chaque nouvelle application s’accompagne d’une multitude de mots de passe utilisateurs, et les administrateurs perdent rapidement le contrôle des accès.
Pire encore, en cas de départ d’un collaborateur, la plupart des entreprises peinent à identifier avec précision les comptes à désactiver et ne disposent pas des fonctionnalités d’audit nécessaires pour assurer le déprovisioning en temps voulu."