Le provisioning est un processus consistant à créer, mettre à jour et supprimer des utilisateurs et des comptes dans l’infrastructure informatique.
Dans n’importe quelle entreprise, les collaborateurs accèdent quotidiennement à de multiples applications et ressources. Lorsqu’il existe également un grand nombre de collaborateurs travaillant dans différents services, la gestion des comptes utilisateur et des autorisations sur plusieurs systèmes peut être une tâche ardue.
Le provisioning automatisé des utilisateurs et des comptes garantit que votre personnel puisse accéder aux applications, fichiers et autres ressources dont ils ont besoin, tout en minimisant les frictions pour les administrateurs du système.
Le provisioning régit les droits et les autorisations d’accès à chacune des ressources des entreprises. La résiliation ou deprovisioning empêche des personnes d’accéder aux ressources de l’entreprise lorsqu’elles n’ont plus aucun lien avec elle, ce qui contribue à maintenir un environnement sécurisé et confidentiel.
Le provisioning automatisé est le processus de création ou de mise à jour de comptes utilisateurs pour de multiples applications et systèmes en même temps. Le déprovisionnement automatisé désactive, supprime ou modifie les comptes sur les serveurs, tels qu’Active Directory, libérant ainsi de l’espace disque, des licences et des ordinateurs d’une entreprise pour de nouveaux collaborateurs.
Le provisionnement automatisé est utile lorsque des informations sont ajoutées ou modifiées dans le répertoire des identités (comme une base de données d’employés RH) et que ce changement doit ensuite être pris en compte pour plusieurs autres applications. Par exemple, l’embauche, la promotion ou le transfert des employés sont tous des événements touchant le cycle de vie des utilisateurs qui impliquent un provisionnement de comptes automatisé. Le provisionnement automatisé garantit que les droits d’accès d’un utilisateur sont à jour sur tous les systèmes, avec un minimum d’interventions pour les administrateurs.
Le déprovisionnement automatisé fait référence à la suppression d’un compte et à la révocation de l’accès à de multiples applications et réseaux en même temps, en retirant des permissions spécifiques ou en désactivant temporairement un compte. Le déprovisionnement automatisé est utile lorsqu’un employé part, change de poste dans une entreprise ou en cas de licence d’essai.
Le provisionnement des utilisateurs devient de plus en plus important à mesure qu’une entreprise se développe, en offrant les avantages suivants :
Une administration de la sécurité plus efficace qui réduit le travail des administrateurs
Le provisionnement automatisé permet de synchroniser automatiquement les changements de serveur avec les applications en quelques secondes, sans aucune intervention humaine, rationalisant le flux de travail entre les services RH et informatique.
Une meilleure expérience utilisateur
Les utilisateurs accèdent en toute transparence à tout ce dont ils ont besoin sans faire appel aux administrateurs ou à attendre une approbation.
Utilisation efficace des ressources
Si le provisionnement juste-à-temps (JIT) est utilisé, un compte n’est pas créé jusqu’à ce que l’utilisateur y accède pour la première fois.
Le déprovisionnement automatisé garantit que les comptes appropriés sont supprimés, désactivés ou modifiés dans plusieurs systèmes et applications immédiatement après un changement dans le statut d’un utilisateur, tel qu’une résiliation ou un changement de rôle.
Amélioration de la sécurité au sein d’une entreprise
Le provisionnement permet aux entreprises de garantir que les utilisateurs ne peuvent accéder qu’aux ressources qu’ils sont autorisés à utiliser, en protégeant vos systèmes et applications contre toute utilisation non autorisée et en garantissant que les comptes sont désactivés immédiatement.
La gestion automatisée du cycle de vie empêche le glissement des autorisations en réévaluant les autorisations des utilisateurs lorsque leur statut change, ainsi qu’en garantissant qu’un nouvel utilisateur n’est pas simplement copié à partir d’un utilisateur existant, ce qui pourrait entraîner des autorisations excessives.
Les administrateurs peuvent automatiser les activités de gestion du cycle de vie en profitant du protocole SCIM (System for Cross-domain Identity Management) ou en utilisant les fonctionnalités du JIT que certaines applications mettent en place.
SCIM est un protocole permettant d'automatiser les transactions de données d'identité des utilisateurs entre les systèmes informatiques. Il est utilisé pour communiquer un changement d'utilisateur d'une source d'identité de confiance aux applications et systèmes en aval, ce qui déclenche des actions de création, lecture, mise à jour et suppression de compte (CRUD) sur ces réseaux.
SCIM 2.0 est la version actuelle et exploite des normes telles que REST et JSON pour fournir une approche réglementée de la gestion des utilisateurs. Elle facilite une communication cohérente et automatisée entre les sources d’identité de la vérité et les applications et systèmes des utilisateurs finaux. Pour plus d’informations, voir SCIM : Comment ça marche.
Dans une configuration typique, un client SCIM communique avec la source d’identité de vérité et transmet les mises à jour aux systèmes et applications en aval.
Pour appliquer le provisionnement à un grand nombre d’employés à la fois, les utilisateurs sont placés dans des groupes plus larges en fonction de facteurs tels que leur rôle et leur emplacement. Ces groupes appliquent les mêmes autorisations pour tous les membres au lieu d’appliquer des autorisations à un seul employé à la fois. Il s’agit du provisionnement délégué.
L’authentification fait référence à un utilisateur prouvant qu’il est bien celui qu’il prétend être, tandis que le provisionnement fait référence aux droits et autorisations que l’utilisateur possède.
Par exemple, dans un hôpital, chaque employé doit s’authentifier sur les systèmes et les applications qu’il utilise. Avant que cet employé puisse accéder à un système ou à une application en particulier, il doit avoir un compte pour ce système ou cette application, et c’est là que le provisionnement entre en jeu. Par exemple, quelqu’un ayant le rôle d’« infirmier » dans la base de données des RH pourrait accéder au système de gestion d’un patient, mais ne pourrait pas accéder à l’application s’occupant des salaires.
Le provisionnement utilisant les assertions SAML est communément appelé JIT provisioning. Les systèmes compatibles avec le JIT provisioning peut utiliser des attributs fournis dans des assertions SAML pour créer des comptes.
Avec le JIT provisioning, les comptes d'utilisateurs sont créés la première fois que les utilisateurs se connectent à une application s’ils disposent des autorisations nécessaires.
Pour configurer le JIT provisioning, les administrateurs configurent le Single sign-on (lien vers le sujet SSO) entre le fournisseur d’identité (IdP) comme l’annuaire des utilisateurs, et le fournisseur de services (SP), l’application cible, et incluent tous les attributs applicables requis par le SP. Ces attributs SAML contiennent des informations sur l’utilisateur, telles que son adresse électronique, son rôle ou le service auquel il appartient.
Le provisionnement JIT ne permet que la création d’utilisateurs. Pour automatiser la modification et la suppression de compte, consultez la section Provisioning SCIM dans la section suivante.
La gestion du cycle de vie basée sur les rôles est l’une des formes les plus courantes de gestion du cycle de vie et traduit les appartenances à un groupe d’un utilisateur à partir d’une source d’identité de vérité en rôles et autorisations sur plusieurs applications.
Par exemple, votre organisation stocke les utilisateurs dans une base de données avec des groupes tels que Corporate, Marketing et DevOps. Les membres du groupe Marketing peuvent accéder aux applications qui leur sont destinées, mais sont exclus des applications désignées pour les groupes Corporate et DevOps.
Le provisionnement entrant fait référence au moment où l’annuaire source (ou la source d’identité de vérité) est externe au client SCIM, par exemple lorsque des comptes d’utilisateur existent dans des systèmes partenaires. L’annuaire source envoie des commandes SCIM au client SCIM, qui à son tour transmet les opérations CRUD aux systèmes et applications en aval.
Dans le diagramme suivant, l’IdP fonctionne comme un client SCIM pour recevoir les demandes de gestion des utilisateurs, puis met à jour l’annuaire cible de manière appropriée en utilisant des opérations CRUD.
Le provisionnement sortant fait référence au moment où la source d’identité de vérité est directement liée au serveur SCIM. Dans le schéma suivant, un client SCIM se connecte à l’annuaire des utilisateurs et surveille les modifications. Au fur et à mesure que des utilisateurs sont ajoutés, modifiés ou supprimés, les modifications sont ensuite transmises aux annuaires ou applications cibles à travers leurs API de provisionnement propriétaires.
Le provisionnement peut avoir de nombreux processus différents, selon l’architecture système de l’entreprise et la solution de provisionnement en place. Le diagramme ci-dessous décrit un modèle de provisionnement sortant typique.
Le service de provisionnement synchronise les identités de l’annuaire d’utilisateurs racine vers les magasins d’utilisateurs externes, tels que les communautés de Salesforce et les magasins d’utilisateurs basés sur SCIM.
Le service de provisionnement maintient en permanence les magasins d’identités cibles synchronisés avec le magasin d’utilisateurs. Tout ajout, modification ou suppression d’utilisateurs ou d’informations utilisateur dans le magasin d’utilisateurs déclenche une mise à jour des magasins d’utilisateurs cibles.
Lancez-vous dès Aujourd'hui
Découvrez comment Ping peut vous aider à protéger vos employés et améliorer l'expérience de vos clients dans un monde digital en constante évolution.
Démonstration Gratuite
Nous vous remercions ! Veuillez consulter votre boîte email.