Identity as a Service - Etude IDaaS
-
Upload
marc-rousselet -
Category
Technology
-
view
476 -
download
0
Transcript of Identity as a Service - Etude IDaaS
IDaaS « Identity As A
Service »
Etat de l'art
Evaluation des solutions Retour d'expérience
Démonstration Marc Rousselet – Directeur Le 7 Novembre 2013
07/11/2013 2
1. Introduction
2. Contexte
3. De l’IAM vers l’IDaaS
4. Les offres IDaaS
5. Les freins et les leviers
6. Démonstration
AGENDA
1 | PROFIL 2 | EXPERTISE 3 | METIERS 4 | AGENCES
4
Qui sommes nous ?
Cabinet de conseil et d’ingénierie
Création en
1996
52 employés début 2013
25 % de croissance en 2012 et 2013
Gouvernance & Gestion des risques
Identités & Accès numériques
Infrastructures sécurisées
Cloud Computing & Mobilité
Conseil : 10%
Intégration : 60%
TMA : 25 %
Formation : 5 %
Paris Marseille Lille Genève
Introduction 07/11/2013
Chronologie de la démarche
Q1-2013
Constitution d’un groupe de travail, lancement de l’étude IDaaS
Définition des critères d’évaluation d’une offre IDaaS
Q2-2013
Evaluation des offres IDaaS du marché,
Certification « Architecture et Cloud Computing » Ecole Centrale Paris
Etude stratégie IDaaS auprès de notre écosystème
Q3-2013
Présentation des scénarios d’adoption auprès d’un panel de clients / prospects
Restitution de l’étude en séminaire interne KERNEL Networks
Q4-2013
Restitution synthétique aux Assises de la sécurité
Présentation des conclusions de l’étude auprès de nos clients, partenaires et prospects
Prochaines étapes
Inclusion des scénarios sur nouveaux usages dans une étude 2014
BYOD – BYOA – BYOI
5 Introduction 07/11/2013
Contexte de l’étude
• 44% des organisations françaises ont déjà adopté une solution de Cloud Computing (IDC),
• Le Cloud Computing tire la croissance du marché de l’IT dans le monde avec une croissance annuelle moyenne de 34% de 2011 à 2016, les secteurs traditionnels sont en diminution,
Constat
• Gartner prévoit qu’à fin 2015, l’IDaaS comptera pour 25% des achats de solutions IAM (5% en 2012),
• D’ici 2014 , 50% des applications seront en mode SaaS dans les organisations françaises, 30% dans les PME (MARKESS),
• Les grandes entreprises intègrent le modèle SaaS dans leur stratégie IT entrainant ainsi :
• Une diminution des ventes de licences des solutions traditionnelles,
• Une baisse progressive des activités de services liées au modèle sur site (on-premise).
Prévisions
• La sécurité constitue un frein à cette transformation: contrôle des accès au monde SaaS, protection des données sensibles , des données personnelles, évolution des contraintes réglementaires, maintient de la conformité
• Une stratégie IAM cohérente permettra de répondre à ces enjeux et d’accompagner l’adoption du Cloud Computing dans l’entreprise
Positionnement de l’IAM
7 Contexte 07/11/2013
Un marché IT en pleine mutation
8 Contexte
Marché Cloud Français 2010-2015
Marché IT Français 2011-2016
07/11/2013
Pourquoi une solution IAM en SaaS ?
• Accompagner l’adoption des applications métiers en mode SaaS • Réduire le Total Cost of Ownership (TCO) de l’IAM :
•Paiement à l'usage en fonction de la population active •Réduction des coûts d’investissements (CAPEX)
• Accompagner vers les nouveaux usages (BYOD, BYOA, nomadisme, mobilité) • Renforcer la sécurité et la gouvernance des accès • Eviter la création de bases de comptes en silos • Améliorer l’expérience utilisateur
Retour de notre panel client
• Réévaluer les besoins réels en IAM de l'entreprise • Rationaliser les processus IAM pour les applications en SaaS et sur site • Définir les critères fonctionnels, techniques et juridiques de la solution
Démarche pour aller vers l’IDaaS
11 De l’IAM vers l’IDaaS 07/11/2013
Enjeux IAM pour le Cloud
12
Gestion des comptes/Provisionning Sources autoritaires Cycle de vie Standards (SPML, XACML, OAUTH) Deprovisionning
Authentification
Exigences Compatibilité entre méthodes Authentification forte/renforcée
Autorisations /Contrôle d’accès
Qui défini le modèle ? Compatibilité entre modèles, délégation Format d’échanges (SAML) et temps de réponse
Conformité
Audit des activités Re-certification des accès Ségrégation des accès
De l’IAM vers l’IDaaS 07/11/2013
Critères d’évaluation d’une solution IDaaS
• La capacité à interagir avec l’IAM sur site
• Les types de user-store supportés, les protocoles Cloud IAM supportés (Oauth, SAML, OpenID, SPML, XACML)
• Les caractéristiques de l’hébergement (AWS, multi-localisation, Cloud public)
• La couverture fonctionnelle selon le périmètre à couvrir
Fonctionnels et Techniques
• Le niveau d’engagement sur :
• Le cloisonnement des données entre clients • Le niveau de service (disponibilité, SLA, PRA, réversibilité, temps de réponse) • Les modalités de réalisation d’un audit externe • Le choix de la localisation des données • Les règlementations applicables
• Le modèle de contractualisation : par souscription, à l’usage, licence ou mixte
• La viabilité du fournisseur : taille, implantations, histoire, positionnement sur le marché, références
Juridiques et économique
13 De l’IAM vers l’IDaaS 07/11/2013
Le rapport Forrester Wave « Cloud IAM » Q3/2012
Description d’une offre IDaaS Gère les droits d’accès pour les employés, les prestataires, les partenaires et les clients
Gère le provisioning vers les applications en mode SaaS, les application sur site et les applications hébergées
Est optionnellement couplée avec une solution IAM traditionnelle
15 critères d’évaluation classés en 3 catégories
Richesse de la solution (fonctionnalités) – 7 critères
Stratégie de l’éditeur – 5 critères
Présence sur le marché – 3 critères
6 acteurs évalués dans la catégorie Cloud IAM Covisint, Lighthouse Security Group, Okta, Simeio Solutions, Simplified et Verizon
Les offres IDaaS 07/11/2013
L’évaluation Forrester des acteurs Cloud IAM
Offre Stratégie Marché
Contrôle d’accès aux applications SaaS
Nombre d’ingénieurs, de commerciaux, nombre total
d’employés CA et croissance
Provisionning vers les applications SaaS et vers les applications
traditionnelles Développements futurs envisagés
Taille et croissance de la base installée
Re-certification des accès Niveau de satisfaction client Les 5 marchés verticaux de
prédilection
Référentiels d’identités supportés Partenaires de l’ecosystème
Multi partage de la solution Protection des informations
personnelles Modèle de tarification
Audit et rapport
Support de l’authentification forte
Les offres IDaaS 07/11/2013
Autres critères de sélection des vendeurs
Critère Description
Une solution Cloud IAM dédiée
La solution n’est pas un service mineur d’une solution plus globale (exemple Google Apps)
Une véritable solution SaaS pour l’IAM
La solution est déployée en mode service (SaaS )avec une tarification adaptée au modèle
disponibilité au 31/12/11
CA Cloud Minder, Microsoft Azure , Onelogin, Ping Identity PingOne, Intel Cloud SSO sont exclus
Adresse le périmètre entreprise
Les populations adressées sont les employés, prestataires et partenaires. Les acteurs B2C sont exclus
3 références clients A minima, 3 interviews de clients en production avec la solution du vendeur
Perception du vendeur Le vendeur est associé au Cloud IAM spontanément par les clients interviewés
dans les différents Panel d’études du Forrester. Sont exclus Courion, OneLogin and Vmware Horizon
Les offres IDaaS 07/11/2013
Actualisation des solutions évaluées
Editeur Nom de la solution Mode
d’hébergement Types d’offres
Okta Okta Cloud Identity and Access Management (IAM) Service
Amazon Web Service
SaaS
Symplified Symplified Amazon Web Service
SaaS
OneLogin OneLogin Hébergement dédié
SaaS
Ping Identity
PingOne Hébergement dédié
Hybride
CA CloudMinder Hébergement dédié
SaaS
SailPoint AccessIQ Hébergement dédié
Hybride
23 Les offres IDaaS 07/11/2013
Evaluation des fonctionnalités IAM
24
* Fonctionnalité disponible avec IdentityIQ
Les offres IDaaS 07/11/2013
Synthèse de notre évaluation (1/2)
27
Solutions Points forts Points faibles
Okta Capacité d’investissements Fondateurs ex-SalesForce Stratégie orientée entreprise (AD) Partenaire Cloud Alliance Google Apps
Faible couverture fonctionnelle Pérennité incertaine
Symplified Antériorité sur le marché Déploiement possible en Cloud privé
Moteur de protocole propriétaire Pérennité incertaine
OneLogin Granularité du modèle de souscription Facilité d’utilisation
Nouvel entrant Manque de lisibilité du positionnement entreprise Pérennité incertaine
• Adaptées aux exigences du Cloud,
• Leur viabilité reste à prouver,
• Implantées aux États-Unis mais pas en Europe
Trois solutions « nativement SaaS »
Les offres IDaaS 07/11/2013
28
Solutions Points forts Points faibles
PingOne Support des protocoles « Fédérations » Plusieurs scénarios d’intégration Antériorité de l’éditeur sur le marché de la fédération
Pas de user store
CloudMinder Facilité de migration d’une solution sur site CA SiteMinder
Modèle de licence non adapté au SaaS Maturité de la solution
AccessIQ Gouvernance des accès Couverture fonctionnelle Gestion des applications personnelles Intégration de produits tiers
Dépendance forte avec IdentityIQ
• Portage de la solution en SaaS (CA CloudMinder)
• Enrichissement d’une solution existante (AccessIQ, PingOne)
• Meilleure présence sur le marché européen
Trois solutions héritées de l’IAM traditionnelle
Les offres IDaaS 07/11/2013
Synthèse de notre évaluation (2/2)
Scénario 1 : IAM avec Fédération des Identités
33 Les freins et les leviers
FREINS
• Supporter un coût d’intégration pour chaque App SaaS • Délai de réalisation (time to market) • Maintenir une nouvelle infrastructure • Ne supporte pas toujours le provisoning automatique
LEVIERS
• Adapter l’infrastructure aux nouveaux usages • Améliorer l’expérience utilisateur • Garder le contrôle de son infrastructure • Ne pas exposer de données IAM dans le Cloud
07/11/2013
Scénario 2 : IAM hybride
34 Les freins et les leviers
FREIN S
• Exposer ses données IAM dans le Cloud • Pas encore de solution hébergée en France • Viabilité des nouveaux acteurs IDaaS • Maturité des nouvelles solutions
LEVIERS
• Accompagner l'adoption du monde SaaS dans l’entreprise • Réduire les coûts d’intégration de l’IAM • Adapter l’infrastructure aux nouveaux usages • Améliorer l’expérience utilisateur
07/11/2013
Scénario 3 : IAM full IDaaS
35 Les freins et les leviers
FREIN S
LEVIERS
• Exposer ses données IAM dans le Cloud • Pas encore de solution hébergée en France • Viabilité des nouveaux acteurs IDaaS • Maturité des nouvelles solutions
• Réduire les coûts de TCO de l’IAM • Accompagner l'adoption du monde SaaS dans l’entreprise
• Adapter l’infrastructure aux nouveaux usages • Améliorer l’expérience utilisateur
07/11/2013
39
Principes de synchronisation AD <=> Okta
Gestion du provisioning de comptes utilisateurs basée sur les OUs suivants :
Gestion des accès aux applications SaaS basée sur l’appartenance (directe ou via un parent) aux groupes AD suivants :
Démonstration 07/11/2013