Pas de gestion des accès sans IAM ?

Avec ou sans option « détection et réponse » ? Dans le domaine des solutions de gestion des accès, la situation est contrastée. Parmi les neuf fournisseurs classés dans le dernier Magic Quadrant dédié à ce segment de marché, quatre ont effectivement intégré cette composante destinées à atténuer les menaces contre les identités. Pour le moment, les fonctionnalités ajoutées touchent surtout à la détection.

Ils sont plus nombreux (6 sur 9) à avoir intégré une forme d’orchestration des accès. Deux d’entre eux – ForgeRock et Ping Identity – proposent un concepteur graphique de flux.
Même proportion pour ce qui est de l’intégration de fonctionnalités IAM. Cela va de l’IGA (administration et gouvernance des identités) au PAM (gestion des accès à privilèges) en passant par la détection de fraude.

La prise en charge des identités décentralisées est effective chez tous les fournisseurs. Elle est native chez trois d’entre eux : IBM, Microsoft et Ping Identity.

Orchestration et identités machine laissées hors du cœur fonctionnel

Figurer au Quadrant impliquait de respecter des critères fonctionnels portant sur dix points. Nommément :

– Services d’annuaire
Au minimum un service pris en charge, synchronisant autant les identités internes (employés, outsourceurs, intérimaires…) qu’externes (clients, fournisseurs, freelances…). Avec, pour ces dernières, le support du protocole SCIM.

– Administration des accès internes
Gestion basique du cycle de vie : synchronisation AD et SCIM, gestion des mots de passe et des profils, galerie d’applications pour le SSO…

– Administration des accès externes
Enregistrement d’utilisateurs, gestion des permissions, délégation d’administration, gestion du consentement et prise en charge, au minimum, des logins de réseaux sociaux

– Outils pour développeurs
Prise en charge d’OpenID Connect, OAuth 2.0 et SCIM.

– Autorisations et accès adaptatifs
Capacité à créer des politiques d’autorisation et à les appliquer à renfort de données contextuelles.

– SSO et gestion des sessions
Prise en charge des jetons ou cookies à durée limitée. Disponibilité d’au moins un paramètre global pour la gestion des sessions.

– Authentification des utilisateurs
Prise en charge de SAML et d’OpenID Connect. Brique MFA au moins par SMS, codes OTP, pushs mobiles et tokens hardware ou software. Support d’au moins deux des cinq méthodes suivantes : certificats X.509, jetons FIDO, biométrie, authentification sans mot de passe, authentification continue.

– Contrôle de l’accès aux API
Serveur d’autorisation OAuth 2.0 avec gestion du consentement et émission de jetons web JSON autonomes.

– Analytics / reporting
Au minimum, historique des événements d’administration et d’accès, avec une API pour l’exportation

La gestion des identités machine n’était pas un critère obligatoire. Même chose pour le profilage progressif, l’orchestration et les concepteurs low code / no code.

AWS, Google Cloud et Alibaba Cloud en embuscade

Fait rare au Magic Quadrant : il y a moins de fournisseurs classés que de fournisseurs bénéficiant d’une « mention honorable ». Parmi ces derniers, certains ne couvrent que les identités externes : Akamai, SAP et Transmit Security. D’autres ne respectent tout simplement pas l’ensemble des critères fonctionnels ou des critères business*. AWS, Google et Alibaba Cloud en sont.

Gartner n’a pas inclus, dans son périmètre d’étude, les solutions de gestion des accès centrées sur le PAM. Il n’a pas non plus tenu compte des produits évoluant sur des segments adjacents : IGA, gestion des API, protection des terminaux, CASB…

* Il fallait avoir soit dégagé 50 M$ de revenus (maintenance incluse) sur l’exercice fiscal 2021, soit disposer, au 6 juin 2022 (date de clôture de l’analyse Gartner), d’au moins 950 clients payants exclusifs.

Photo d’illustration © Ruslan Gramble – Shutterstock