Bases du SCIM : Gestion efficace des identités interdomaines

Le SCIM (System for Cross-Domain Identity Management, système de gestion des identités interdomaines) est un protocole qui simplifie la gestion des identités numériques à travers différentes applications et plateformes. L’ensemble des API du SCIM permet d’automatiser le provisioning et le déprovisioning, ainsi que la synchronisation des attributs et des mots de passe des utilisateurs.

Alors que notre monde dépend de plus en plus des technologies basées dans le Cloud, nous devons créer des identités pour diverses applications qui existent sur différentes plateformes de Clouds publics et privés. Cependant, la gestion manuelle de toutes ces identités, y compris la création et la mise à jour des rôles, l’attribution de permissions et la sécurisation des utilisateurs à privilèges, peut s’avérer une tâche difficile et sujette aux erreurs.

C’est là qu’intervient le SCIM, qui définit un cadre normalisé pour l’échange de données entre les systèmes informatiques et les fournisseurs d’identité. Avec le SCIM, les nouveaux utilisateurs créés dans un système d’identité sont automatiquement provisionnés dans différentes applications informatiques (à la fois SaaS et sur site).

Le SCIM permet également de synchroniser les données d’identité entre différents produits d’identité. Par exemple, si vous disposez d’une ancienne solution d’identités d’entreprise, vous pouvez l’intégrer à un fournisseur d’identités basées sur le Cloud via le SCIM. Les administrateurs n’ont donc plus besoin de définir les données d’identité dans plusieurs applications et systèmes, ce qui réduit le risque d’erreurs et de mauvaises configurations.

Le provisioning SCIM est le processus d’automatisation de la gestion des comptes d’utilisateurs et de l’octroi des droits d’accès à l’aide du protocole SCIM. Les outils informatiques compatibles avec le SCIM mettent en œuvre le protocole pour exposer les API de gestion des utilisateurs.

Les produits d’identité compatibles avec le SCIM peuvent utiliser ces API pour créer, mettre à jour et supprimer des comptes d’utilisateurs. Par exemple, un fournisseur d’identités peut utiliser le point de terminaison API /Users/create pour créer un nouvel utilisateur dans l’application cible.

Le provisioning SCIM réduit les efforts manuels nécessaires pour gérer les utilisateurs et leurs autorisations dans différents systèmes. Il renforce également la sécurité en veillant à ce que les comptes utilisateurs soient déprovisionnés en temps voulu, ce qui réduit le risque d’accès non autorisé et de violation des données.

1. Un administrateur utilise l’application d’identité pour créer, modifier ou supprimer un compte utilisateur
2. L’application d’identité communique la modification à une application compatible avec le SCIM (l’application compatible avec le SCIM est un client SCIM autonome chargé de générer et d’envoyer des messages SCIM aux applications cibles)
3. L’application compatible SCIM envoie un message SCIM au format JSON à l’application cible
4. L’application cible, généralement un outil SaaS compatible avec le SCIM qui nécessite les données d’identité les plus récentes, vérifie le message SCIM, met à jour ses données d’identité en conséquence et répond à l’application SCIM avec un code d’état
5. Enfin, l’application SCIM informe l’application d’identité du succès ou de l’échec de la tentative de synchronisation

La nature diverse et complexe des infrastructures informatiques modernes peut rendre difficile la gestion des identités et de l’accès aux ressources sensibles. Les administrateurs doivent s’assurer que toutes les applications, qu’elles soient situées dans le Cloud ou sur site, utilisent des données d’identité à jour. C’est là que le SCIM s’avère être une solution inestimable.

Le SCIM agit comme un agent liant qui comble le fossé entre des composants autrement disparates d’une infrastructure informatique. Il permet une gestion transparente des identités en automatisant la synchronisation des données entre les systèmes d’identité et les applications informatiques.

Il est donc important de choisir des fournisseurs d’identités et des outils informatiques qui prennent en charge le SCIM. Si vous disposez d’applications anciennes qui ne prennent pas en charge le SCIM, envisagez d’écrire un service adaptateur SCIM qui leur permette de s’intégrer au fournisseur d’identités compatible avec le SCIM.

Voici quelques exemples des avantages que votre entreprise peut tirer de l’utilisation du SCIM :

• Rendre le processus de gestion des identités plus simple, plus efficace et plus résistant
• Améliorer votre politique de sécurité en fournissant à tous les systèmes informatiques les données d’identité les plus récentes
• Améliorer la conformité et l’audit grâce à l’application cohérente de contrôles de sécurité dans tous les systèmes
• Réduire les coûts liés à l’administration en automatisant le provisioning, la modification et le déprovisioning des utilisateurs
• Veiller à ce que l’accès soit accordé et révoqué en temps utile et de manière cohérente afin de réduire le risque d’accès non autorisé
• Améliorer l’expérience de l’utilisateur en veillant à ce que les droits d’accès mis à jour soient immédiatement appliqués aux applications cibles concernées
• Utiliser un protocole conçu pour gérer des milliers d’utilisateurs et de ressources, ce qui en fait un bon choix pour les entreprises

Si le SCIM présente de nombreux avantages, il y a aussi quelques inconvénients (potentiels) dont il faut tenir compte :

• Si votre infrastructure comporte plusieurs applications héritées, l’intégration du SCIM nécessitera beaucoup de temps, d’efforts et d’expertise technique
• Si les API REST du SCIM ne sont pas correctement sécurisées, elles peuvent augmenter votre surface d’attaque. Ce serait le cas si, par exemple, une faille dans un système connecté au SCIM pouvait conduire à un accès non autorisé à plusieurs systèmes