Gestion des identités et des accès : comment choisir entre les solutions logicielles et le Saas

0

L’adoption continue du cloud computing a perturbé les déploiements des logiciels de gestion des identités et de l’accès (IAM) traditionnels, souvent en faveur de l’IAM en mode SaaS (logiciel en tant que service). 

Les responsables de la gestion du risque et de la sécurité axés sur l’IAM doivent analyser les moteurs opérationnels et technologiques, ainsi que le coût total de possession, pour faire le choix approprié.

Principales difficultés

■ L’adoption rapide du cloud computing pour les collaborateurs, le remplacement des systèmes d’IAM orientés sur les consommateurs et développés en interne et les nouvelles initiatives entre entreprises dépassent les capacités des programmes d’IAM à fournir une gestion des identités et de l’accès efficace, efficiente et propice aux activités.

■ La transition d’un ensemble de compétences en configuration vers un ensemble de compétences DevOps exacerbe les difficultés qu’éprouvent de nombreuses entreprises pour trouver et conserver le personnel ou les compétences nécessaires pour gérer les implémentations de logiciels d’IAM et les étendre au cloud.

■ L’utilisation de fonctionnalités de gestion de l’accès via un SaaS est relativement simple. En revanche, le remplacement d’un logiciel d’IAM personnalisé pour prendre en charge les architectures d’applications historiques avec l’IAM en mode SaaS peut s’avérer coûteux et difficile.

Recommandations

À l’attention des responsables de la gestion du risque et de la sécurité chargés de fournir des capacités efficaces d’IAM

■ Identifiez les moteurs opérationnels clés de votre vision en matière d’IAM et élaborez une stratégie en prenant en compte les avantages de l’IAM en mode SaaS : réalisation plus rapide de la valeur, flexibilité de l’IAM pour les nouvelles applications et atténuation des problématiques de dotation en personnel pour les déploiements des logiciels d’IAM.

■ Évaluez le déploiement approprié d’une stratégie d’IAM en mode SaaS (solution autonome (remplacement) ou hybride) par rapport à un logiciel d’IAM existant en identifiant les cas d’utilisation entre entreprises (B2B), entre entreprise et consommateur (B2C) et de la transition du personnel vers un SaaS.

■ Utilisez une structure de comparaison des coûts et des responsabilités pour garantir des comparaisons appropriées entre les implémentations de l’IAM en mode SaaS et fournie par un logiciel.

Introduction

L’IAM en mode SaaS est souvent désignée sous l’appellation « identité en tant que service » (IDaaS) ou « IAM en tant que service », des expressions qui ont une signification différente selon les personnes. Alors que la plupart des offres d’IDaaS étaient plus performantes en termes de fonctionnalités de gestion de l’accès, de nombreux éléments de l’IAM, tels que l’administration et la gouvernance des identités (IGA) et l’authentification multifacteur, sont désormais fournis par des modèles SaaS.

En termes d’options de fourniture, Gartner a déterminé qu’un terme moins ambigu pour ces services est « l’IAM en mode SaaS », où l’IAM englobe potentiellement tous les éléments, y compris l’authentification unique, l’authentification multifacteur, l’IGA et la gestion des accès dotés de privilèges (PAM).

L’IAM fournie par un logiciel est traditionnellement désignée comme l’IAM « sur site ». Toutefois, avec l’infrastructure en tant que service (IaaS) et la plate-forme en tant que service (PaaS), le cloud computing devient une extension du datacenter traditionnel et le terme « sur site » devient moins significatif.

L’IAM fournie par un logiciel se définit comme toutes les solutions qui sont installées en local, que ce soit sur une appliance, sur un serveur dans le datacenter, dans une IaaS ou comme élément natif d’une PaaS.

Le marché de l’IAM en mode SaaS et l’intérêt que lui portent les clients en tant que complément, ajout, remplacement ou stratégie hybride pour les déploiements de l’IAM fournie par un logiciel continuent de croître1 . Le nombre d’entreprises pour lesquelles l’IAM en mode SaaS n’est pas viable ne cesse de diminuer et le modèle des SaaS continue de gagner en popularité sur le marché global de l’IAM.

En se basant sur les demandes de renseignements des clients, Gartner observe que les entreprises qui cherchent à mettre en œuvre des fonctions d’IAM répondant à un large éventail de cas d’utilisation pour divers utilisateurs opteront de plus en plus pour des modèles de SaaS à mesure qu’elles réaliseront les avantages financiers du cloud computing . Lorsqu’elles s’intéressent pour la première fois aux modèles SaaS par abonnement, de nombreuses entreprises sont désagréablement surprises par le prix. Or, ces entreprises n’ont pas analysé entièrement leurs coûts complets actuels de la gestion de l’IAM fournie par un logiciel.

La nécessité de prendre en charge l’IAM pour un éventail croissant d’impératifs d’IaaS, de PaaS et de SaaS qui ne peuvent pas être satisfaits, ou qui ne sont pas correctement satisfaits par les infrastructures d’IAM logicielles, conduit à l’adoption de nouvelles options de fourniture via le cloud computing.

Parmi les autres facteurs figurent la réduction des coûts de main-d’œuvre pour exécuter la solution, les mises à niveau automatiques et le raccourcissement du délai de réalisation de la valeur. Les fournisseurs proposant des capacités d’IAM ont saisi cette opportunité, de sorte que le marché offre un plus grand choix d’options de fourniture.

Les éditeurs de logiciels établis ont ajouté des offres en mode SaaS, tandis que de nouveaux participants sont entrés sur le marché avec uniquement des offres en mode SaaS. Les SaaS offrent une option de mise à disposition agile, flexible et extrêmement évolutive pour de multiples fonctions, ajoutant de la valeur aux deux modes dans les approches bimodales de l’IAM. Les responsables de la gestion du risque et de la sécurité axés sur l’AIM (c’est-à-dire les responsables de l’IAM) investiront de plus en plus dans l’IAM en mode SaaS, mais ils doivent planifier l’atténuation des risques métiers, technologiques et liés à la disponibilité avant de faire un choix approprié.

Comment les entreprises peuvent-elles prendre des décisions informées au sujet des modèles de fourniture de l’IAM ? La décision de transférer les fonctions d’IAM vers le cloud doit être prise dans le contexte des stratégies de sourcing globales de l’entreprise. Les entreprises doivent évaluer plusieurs critères avant d’aller plus loin avec l’IAM en mode SaaS, notamment celles qui ont une stratégie privilégiant le cloud computing.

Les responsables de l’IAM doivent analyser les moteurs opérationnels et technologiques et les facteurs bloquants, ainsi que le coût total de possession, pour faire le choix approprié lorsqu’ils comparent les modèles de SaaS aux implémentations logicielles concernant les technologies d’IAM (voir la figure 1).

D’après les interactions de Gartner avec des clients, la plupart des achats d’IAM en mode SaaS sont destinés à la gestion de l’accès tel que l’authentification unique et une fonctionnalité allégée d’IGA. Ces offres fournissent une excellente connectivité pour les SaaS qui inclut une gestion performante de l’accès, des fonctionnalités de gestion des mots de passe, un déploiement de services de base aux utilisateurs concernant les applications de SaaS et un support mature pour les cas d’utilisation B2B et B2C.

Les fournisseurs d’IAM en mode SaaS sont en train de développer des fonctionnalités d’IGA plus approfondies, telles que la mise en vigueur de la séparation des tâches, la certification de l’accès, ainsi que la gestion des droits et du cycle de vie des rôles. Ces fonctionnalités peuvent les aider à améliorer leurs ventes sur les marchés des moyennes et grandes entreprises en renforçant les outils d’IAM existants à l’aide d’une approche de déploiement de modèle hybride. Cependant, la plupart des fournisseurs d’IAM en mode SaaS n’ont toujours pas de solutions pour prendre en charge les applications historiques ayant des interfaces d’authentification propriétaires, hormis le stockage dans un coffre-fort logiciel et le transfert des mots de passe.

Ces fournisseurs améliorent leur prise en charge des applications historiques à travers des développements, des partenariats ou des acquisitions, comme le partenariat d’Okta avec F5, Palo Alto Networks, Citrix et ICSynergy. Microsoft fournit également la gestion de l’accès pour les applications des clients en utilisant la fédération ou un serveur proxy inverse avec le produit PingAccess. Les clients qui ont besoin d’une prise en charge d’applications web historiques doivent s’assurer dans leurs évaluations des fournisseurs et les démonstrations de faisabilité que les fournisseurs d’outils de gestion de l’accès peuvent prendre en charge toutes les applications cible. Les acheteurs de logiciels qui sont réticents à l’idée qu’un tiers gère leurs services d’authentification et d’autorisation et détienne des informations personnelles peuvent s’en tenir à leur déploiement de logiciels traditionnel.

Analyse

Les responsables de l’IAM doivent décider si la gestion opérationnelle des solutions d’IAM est fondamentale pour leur entreprise ou si la fonction peut être externalisée. Les entreprises qui  choisissent des modèles SaaS pour l’IAM justifient ce choix par plusieurs facteurs non liés aux coûts :

■ les offres matures d’IAM en mode SaaS ;

■ le délai rapide de réalisation de la valeur ;

■ le fait de surmonter les pénuries de personnel et de compétences ;

■ la résolution des conflits relatifs aux implémentations de l’IAM en double ;

■ la maîtrise des implémentations d’IAM internes inefficaces ou inefficientes.

Offres matures d’IAM en mode SaaS

Le modèle de SaaS pour l’IAM est maintenant largement disponible et en mesure de répondre aux cas d’utilisation les plus larges des entreprises. Cette évolution est due aux offres d’IAM en mode SaaS qui ont gagné en maturité, à des mises à niveau fonctionnelles fréquentes et faciles à exploiter, à des impératifs opérationnels réduits, à l’aisance accrue des acheteurs face à l’IAM en mode SaaS et à d’importantes initiatives marketing et commerciales de la part des fournisseurs établis.

Les modèles de fourniture de l’IAM en mode SaaS ont tendance à être supérieurs pour les cas d’utilisation B2C et de la transition du personnel vers un SaaS. Les clients de Gartner sont en effet plus souvent intéressés par un modèle de SaaS pour leurs besoins en B2C. Au travers des demandes de renseignements, Gartner a observé que les clients remplacent leurs capacités d’IAM développées en interne pour leurs applications orientées sur les consommateurs et recherchent un délai rapide de réalisation de la valeur. Ils n’estiment guère que les identités des consommateurs doivent être conservées à l’intérieur du réseau de l’entreprise.

Tous les fournisseurs de solutions de gestion de l’accès, quels que soient leurs modèles de prestation, prennent en charge la fédération basée sur des standards : la prise en charge du langage de balisage des assertions de sécurité (SAML) est omniprésente, tandis que celle d’OpenID Connect gagne en maturité. La fonctionnalité d’intégration d’applications non standard est de plus en plus mature, avec des fournisseurs spécialisés d’IAM en mode SaaS qui prennent en charge des scénarios complexes de proxy inverse et d’authentification par en-tête HTTP.

Par exemple, Okta s’intègre aux outils existants de gestion de l’accès des entreprises à partir de son service de cloud computing ou conclut des partenariats pour cette fonctionnalité. Microsoft fournit la gestion de l’accès pour les applications des clients en utilisant la fédération ou le proxy inverse et utilise son produit PingAccess pour les applications cible limitées qui nécessitent des en-têtes HTTP propriétaires.

Des fournisseurs de gestion de l’accès en mode SaaS, tels que Ping Identity et Okta, élargissent également leur portefeuille en traitant les fonctionnalités d’authentification et d’autorisation de la passerelle d’API au sein du jeu de fonctionnalités de gestion de l’accès. Ceux qui ne disposent pas de fonctionnalités approfondies d’IGA, dont font partie Ping Identity et Okta, étendent leur prise en charge des protocoles d’identité OAuth et OpenID Connect afin de permettre l’authentification et l’autorisation pour des cas d’utilisation de protection des API.

Les capacités d’administration et de gouvernance des identités gagnent aussi en maturité dans les offres en mode SaaS, plusieurs fournisseurs, dont Saviynt et Tuebora, proposant des capacités d’IGA approfondies. Ces capacités d’IAM en mode SaaS évoluent pour répondre aux besoins de la plupart des entreprises en matière de cloud computing, mais aussi de la grande majorité de leurs applications internes.

La possibilité d’utiliser l’IGA en mode SaaS aidera les entreprises à simplifier l’intégration de nouveaux utilisateurs et le déploiement de services à leur égard. De plus, lorsque des campagnes de certification de l’accès sont importantes à des fins de conformité et de réglementation, elles auront une meilleure compréhension des autorisations et des droits, en plus de trouver l’équilibre approprié entre l’accès interne et dans le cloud computing.

Délai rapide de réalisation de la valeur

Les acheteurs pensent qu’ils peuvent atteindre leurs objectifs d’IAM plus rapidement en optant pour l’IAM en mode SaaS, d’autant plus que les entreprises utilisent davantage les applications de SaaS.

Les entreprises se concentrent principalement sur la gestion de l’accès et le déploiement de services pour les applications de SaaS, ce qui est assuré par l’IAM en mode SaaS. Toutefois, des capacités fondamentales d’IGA, telles que la gestion du cycle de vie des identités et la gouvernance de base des identités, peuvent également être mises en œuvre à l’aide de l’IAM en mode SaaS.

Les acheteurs doivent s’attendre à des délais d’implémentation plus courts avec l’IAM en mode SaaS qu’avec les déploiements de logiciels traditionnels. Cela s’applique désormais également aux capacités complètes d’IGA en mode SaaS et aux projets qui incluent la prise en charge des applications historiques et des impératifs d’ampleur fonctionnelle pour l’administration et la gouvernance des identités, en raison d’approches de déploiement plus simples qui minimisent la personnalisation et réduisent le temps consacré à la gestion de l’infrastructure.

Les fournisseurs d’IAM en mode SaaS connaissent leurs solutions et s’efforcent d’en rationaliser l’implémentation et le fonctionnement. Il faut néanmoins prendre en compte le coût d’opportunité de tout changement apporté aux applications historiques, y compris les changements nécessaires pour la migration vers l’IAM en mode SaaS. Ces projets peuvent quand même nécessiter beaucoup de temps et d’argent et les exigences de personnalisation sont une cause courante d’allongement des projets et de hausse des coûts.

Les entreprises qui migrent une implémentation logicielle extrêmement personnalisée vers un modèle de fournisseur d’IAM en mode SaaS hébergé et dédié doivent s’attendre à un travail de transition potentiellement considérable pour prendre en charge le nouveau modèle d’hébergement et de fonctionnement proposé par le fournisseur. Elles doivent sinon être prêtes à changer l’approche de leurs départements informatiques, en supprimant la forte personnalisation au profit de la rapidité de déploiement et d’une réduction de la complexité, pour accroître la fiabilité et la disponibilité.

Lutte contre les pénuries de personnel et de compétences

Les clients de Gartner évoquent régulièrement l’incapacité à trouver ou conserver des collaborateurs compétents dans les produits d’IAM. Nous nous attendons à ce que cette tendance se poursuive pour les horizons de planification courants.

Les consultants et les intégrateurs de systèmes doués de ces compétences peuvent également être rares ou jugés trop onéreux pour recourir à leurs services de façon continue. Les compétences requises pour les déploiements de l’IAM fournie par un logiciel sont également très différentes de celles requises pour les déploiements de l’IAM en mode SaaS, ces derniers étant principalement axés sur les processus métiers et les configurations.

Toutefois, les entreprises qui s’orientent vers un modèle d’IAM en mode SaaS auront toujours besoin d’une expertise interne pour gérer l’aspect opérationnel des impératifs d’IAM et l’interface entre l’entreprise et le fournisseur d’IAM en mode SaaS.

Résolution des conflits relatifs aux implémentations de l’IAM en double

En raison de fusions ou d’acquisitions, les entreprises peuvent hériter d’infrastructures d’IAM supplémentaires. Ces dernières peuvent coexister ; toutefois, de nombreuses entreprises peuvent vouloir consolider les fonctions.

L’IAM en mode SaaS est utile dans de tels scénarios pour renforcer ces solutions en assurant la standardisation et la consolidation pour les apps et les utilisateurs, tandis que l’IAM fournie par un logiciel en double répond aux besoins de la maind’œuvre et des applications historiques. L’approche hybride de l’IGA fournie par un logiciel et de l’IAM en mode SaaS étroitement couplées est actuellement adoptée largement.

L’intégration d’une nouvelle acquisition dans une solution d’IAM en mode SaaS est fondamentalement plus facile et plus rapide que l’intégration dans une solution d’IAM fournie par un logiciel. De même, la cession d’une unité opérationnelle qui utilise une solution d’IAM en mode SaaS représente un projet dont l’exécution est nettement plus courte qu’avec l’IAM fournie par un logiciel. Les entreprises qui connaissent d’intenses activités dans ce domaine peuvent trouver que l’agilité offerte par l’IAM en mode SaaS procure d’importantes économies de coûts.

Maîtrise des implémentations d’IAM internes inefficaces ou inefficientes

Les programmes d’IAM traditionnels peuvent ne pas fournir la valeur attendue d’efficacité ou d’efficience opérationnelle pour une ou plusieurs des raisons suivantes :

■ planification insuffisante ;

■ gouvernance médiocre de la gestion du programme d’IAM ou manque de soutien des dirigeants, entraînant une incapacité à faire avancer les projets ;

■ financement insuffisant ;

■ glissement de la portée du projet ;

■ pénurie de personnel ou de compétences.

À l’exception des compétences ou des niveaux de dotation en personnel technique inappropriés, ces inhibiteurs ne disparaîtront pas automatiquement en basculant vers une solution d’IAM en mode SaaS. Ces inhibiteurs ont en effet souvent des causes premières qui n’ont rien à voir avec le modèle de prestation de l’IAM et ces problèmes doivent être résolus par une solide gouvernance des programmes d’IAM. Le modèle SaaS peut aider à atténuer certains des problèmes susmentionnés.

Les entreprises disposant de programmes d’IAM matures et d’implémentations logicielles traditionnelles, bien gérées et entièrement dotées en personnel ont désormais de bonnes raisons d’envisager également le modèle SaaS. Ces raisons incluent principalement les économies de coûts potentielles, le redéploiement du personnel de l’IAM vers d’autres priorités et la capacité de renfort avec l’approche du modèle hybride.

Les responsables de l’IAM doivent également évaluer les risques liés à la transition vers l’IAM en mode SaaS, ainsi que la capacité réduite de personnalisation :

■ sécurité des données, notamment des références d’identité (mots de passe) ;

■ résidence des données et des services (en fonction des restrictions légales) ;

■ disponibilité des services et continuité des activités ;

■ autres contrôles de sécurité.

Évaluez le déploiement approprié d’une stratégie d’IAM en mode SaaS par rapport à un logiciel d’IAM existant en identifiant les cas d’utilisation B2B, B2C et de la transition du personnel vers un SaaS

La plupart des offres d’IAM en mode SaaS prennent en charge les fonctions d’IAM pour l’accès du personnel aux SaaS ou aux propres applications web de l’entreprise. Les cas d’utilisation B2C et B2B sont respectivement les deuxième et troisième cas les plus répandus, mais sont désormais considérés comme des offres matures dans le portefeuille des fournisseurs d’IAM en mode SaaS. L’intégration des piles logicielles d’IAM traditionnelles avec les solutions d’IAM en mode SaaS est considérée comme une tendance croissante pour prendre en charge des fonctionnalités d’IGA plus approfondies et les applications historiques.

Les fournisseurs qui sont arrivés tôt sur le marché des solutions d’IAM en mode SaaS, tels que OneLogin et Okta, offrent de solides fonctionnalités de contrôle d’accès et de génération de rapports. Toutefois, ils ne fournissent que des fonctionnalités basiques d’administration et de gouvernance des identités et la plupart d’entre elles sont administratives.

Par exemple, le flux de travail (workflow) d’approbation dans les offres de gestion de l’accès en mode SaaS s’est amélioré, mais n’égale pas encore l’IGA complète en termes de personnalisation, comme le routage des approbations pour les responsables lorsqu’ils sont en congés.

D’après les interactions de Gartner avec des fournisseurs, nous constatons que ces fonctionnalités se sont généralisées et qu’elles gagneront en maturité au cours des prochaines années. Les solutions d’IAM en mode SaaS ne prennent généralement pas en charge certaines fonctionnalités des produits traditionnels d’IGA, à savoir les campagnes de certification de l’accès, la gestion du cycle de vie des rôles, le catalogue des droits et la mise en vigueur des politiques de séparation des tâches.

Le choix d’externaliser ces fonctions peut s’avérer relativement simple pour les entreprises ayant des implémentations d’IAM complètement nouvelles ou pour celles qui ont recours à la gestion de l’accès en mode SaaS pour compléter les implémentations logicielles existantes. Le délai rapide de réalisation de la valeur est un puissant moteur dans de tels cas. La gestion de l’accès en mode SaaS est alors pertinente et est maintenant largement adoptée pour les cas d’utilisation orientés sur les consommateurs et les entreprises.

L’IGA, la gestion de l’accès et l’authentification multifacteur avec toutes leurs fonctionnalités sont largement disponibles dans l’IAM fournie par un logiciel. Les fournisseurs d’IAM en mode SaaS limitent généralement les jeux de fonctionnalités à celles qui sont simples à déployer et qui peuvent être configurées et exploitées par de nombreux clients, plutôt qu’aux fonctionnalités qui doivent être personnalisées ou qui résultent d’une intégration spécialisée.

C’est pourquoi les fonctions d’IGA sont plus limitées pour ces fournisseurs, alors que le marché de la gestion de l’accès a évolué pour prendre en charge les aspects fondamentaux des fonctions d’autorisation et d’authentification afin de protéger les API, et vice versa. Une amélioration programmatique concerne les API cible pour l’intégration avec les fournisseurs d’IAM en mode SaaS.

Toutefois, certaines solutions d’IGA en mode SaaS, telles que Sailpoint et IdentityNow, et certains fournisseurs de logiciels d’IGA hébergés sur une IaaS, tels que Dell Technologies (RSA) et Saviynt, prennent en charge des cibles d’applications historiques.
Ces solutions offrent les fonctionnalités plus approfondies que l’on trouve généralement dans les suites et les produits logiciels d’IAM matures, en particulier s’agissant des fonctions d’IGA. Dans de tels cas, des solutions d’IGA en mode SaaS peuvent remplacer les implémentations logicielles traditionnelles.

Ces solutions présentent certains défis en matière de gouvernance et de gestion des identités, mais elles représentent également une formidable opportunité de marché. Les entreprises apprécient de plus en plus l’idée des solutions d’IGA en mode SaaS. Cette acceptation croissante stimule l’innovation à mesure que les fournisseurs d’IGA optimisent leurs offres pour la prestation dans le cloud. Dans l’intervalle, de nombreuses entreprises répondent à leurs besoins en matière de cloud computing en adoptant un modèle de déploiement hybride avec la gestion de l’accès en mode SaaS et l’IGA fournie par un logiciel.

Modèle de réalisation hybride : intégration de l’IAM en mode SaaS et de l’IGA fournie par un logiciel

Une autre approche courante pour gérer les comptes d’utilisateurs dans les applications basées sur le cloud computing consiste à intégrer des solutions d’IGA fournie par un logiciel à des solutions d’IAM en mode SaaS qui n’ont pas de fonctionnalités d’IGA approfondies, telles que Centrify, Microsoft Azure, Okta, OneLogin et Ping Identity. Ce modèle hybride est approprié aux besoins d’IAM des grandes entreprises ou d’entreprises plus complexes qui possèdent leurs propres piles d’IAM traditionnelles.

Comme le montre la figure 2, le système d’IGA met à disposition des utilisateurs un annuaire et d’autres solutions logicielles. Les utilisateurs sont ensuite synchronisés avec l’annuaire d’IAM en mode SaaS. Le système d’IAM en mode SaaS met alors à disposition des utilisateurs diverses apps dans le cloud via le standard SCIM (System for Cross-Domain Identity Management), des API ou d’autres méthodes. 

Ce modèle hybride est largement adopté. Les fournisseurs d’IAM en mode SaaS sans fonctionnalités d’IGA approfondies mettent non seulement des services à disposition des utilisateurs, mais permettent également l’authentification unique à des applications basées sur le cloud computing avec des capacités d’administration internes supplémentaires.

Certains fournisseurs d’IGA, en particulier ceux qui proposent des services d’IGA via une IaaS, ont également étendu leurs solutions pour prendre en charge ce modèle de déploiement. Bien que le modèle hybride soit un modèle efficace pour le déploiement de services, il présente certaines difficultés si les systèmes d’IGA fournie par un logiciel et de gestion de l’accès en mode SaaS ne sont pas étroitement intégrés. Les deux problèmes les plus préoccupants sont les suivants :

■ le manque de gouvernance et de supervision de l’accès dans le cloud ;

■ l’incapacité à retirer les comptes d’utilisateurs.

Gartner a observé une hausse des partenariats stratégiques entre les fournisseurs de solutions d’IGA fournie par un logiciel et d’IAM en mode SaaS sans fonctionnalités d’IGA approfondies pour assurer la gestion et la gouvernance de bout en bout des comptes d’utilisateurs. La plupart des entreprises déploient une combinaison des méthodes ci-avant pour gérer l’accès des utilisateurs vers et depuis le cloud. Quelles que soient les méthodes de connexion ou de déploiement des comptes d’utilisateurs utilisées, il est important que le système d’IGA conserve un enregistrement centralisé des accès des utilisateurs à des fins de gestion du cycle de vie des identités et de gouvernance.

Une autre tendance croissante en matière de déploiement de services aux utilisateurs est l’utilisation par les fournisseurs d’IGA de passerelles SCIM pour gérer les comptes d’utilisateurs dans toutes les applications prises en charge par SCIM. Box, Google, Microsoft et Salesforce font partie des adeptes précoces du standard SCIM.

Les passerelles SCIM fonctionnent de la même manière qu’un modèle d’IAM en mode SaaS hybride dans lequel les connexions au cloud sont délestées vers la passerelle SCIM. Le logiciel d’IGA n’a qu’à se connecter à la passerelle SCIM. La passerelle SCIM utilise n’importe quelle API ou méthode de connectivité disponible pour communiquer avec l’application basée sur le cloud computing pour le trafic sortant. Cependant, la passerelle convertit tout le trafic entrant vers le standard SCIM pour consommation par la solution d’IGA et les autres systèmes de gestion des identités.

Alors que Gartner observe actuellement cette approche hybride d’une solution d’IGA fournie par un logiciel étroitement couplée à la gestion de l’accès en mode SaaS, la maturité croissante de l’IGA en mode SaaS va bientôt commencer à remettre en question ce modèle. Les entreprises pourront bientôt satisfaire l’intégralité de leurs besoins en matière d’administration et de gouvernance des identités avec des solutions d’IGA en mode SaaS.

Utilisez une structure de comparaison des coûts et des responsabilités pour garantir des comparaisons appropriées entre les implémentations de l’IAM en mode SaaS et fournie par un logiciel

Certains clients de Gartner sont déconcertés par les prix de l’IAM en mode SaaS. Toutefois, nous découvrons souvent qu’ils n’ont pas la compréhension complète de tous les coûts liés à leur infrastructure logicielle d’IAM et au personnel qui est nécessaire pour effectuer une analyse précise des coûts relatifs aux implémentations logicielles de l’IAM existantes ou planifiées.

Les tarifs des fournisseurs d’IAM en mode SaaS, généralement exprimés en coût par utilisateur et par mois, en coût par transaction ou utilisateurs actifs par mois, incluent tous leurs coûts, plus le bénéfice.

Ces fournisseurs parient sur le fait que les économies d’échelle pour leurs implémentations répétables peuvent compenser une partie des coûts que les acheteurs engageraient en procédant à leurs propres implémentations logicielles ponctuelles. La figure 3 montre les responsabilités qui incombent principalement au fournisseur d’IAM en mode SaaS, à l’acheteur ou qui sont partagées entre les deux.