Aujourd'hui, chaque entreprise est une entreprise de logiciels, et l'innovation est une priorité absolue pour tout le monde. En plus de leurs fonctionnalités commerciales de base, les applications logicielles modernes doivent inclure des fonctionnalités que tout le monde s'attend à trouver, comme la collaboration, le partage et les équipes.
Cependant, lorsque les ressources de développement sont limitées, la dernière chose que vous souhaitez est de submerger votre équipe avec de nouvelles exigences d'autorisation pour prendre en charge les besoins croissants des normes que votre application doit prendre en charge, notamment la sécurité, la gouvernance et la conformité.
À mesure que les applications SaaS deviennent de plus en plus sophistiquées, collaboratives et riches en fonctionnalités, l'autorisation peut devenir un véritable casse-tête, accaparant le temps des développeurs pour intégrer à plusieurs reprises plusieurs couches d'autorisations dans le code de l'application.
Quel est le problème ?
Souvent, les approches d’autorisation ne peuvent pas répondre aux exigences complexes des solutions SaaS hautement collaboratives d’aujourd’hui. Donner à vos utilisateurs l’accès aux actifs d’application était autrefois assez simple.
Les autorisations étaient souvent accordées en fonction de rôles prédéfinis : si un employé fait partie de l'équipe des ressources humaines, il obtient l'accès aux fonctionnalités d'intégration. Toutefois, à mesure que les solutions SaaS ajoutent davantage de fonctionnalités collaboratives et incluent un plus large éventail d'utilisateurs (des employés et partenaires aux clients et aux sous-traitants), le contrôle d'accès basé sur les rôles (RBAC) n'est plus suffisant.
Autorisation décentralisée = Amélioration de la conformité, de l'audit et des lacunes de sécurité
RBAC et d'autres méthodes traditionnelles de sécurisation et de gestion de l'accès aux documents, fichiers et autres types d'actifs reposent généralement sur un codage dans l'application ou des solutions ponctuelles héritées. Cependant, la répartition de la logique d'autorisation sur plusieurs applications peut rapidement accroître la conformité, l'audit et les vulnérabilités de sécurité.
Davantage de points d'accès entraînent plus de risques, du point de vue de la sécurité, de l'audit et de la conformité. Mais les risques augmentent dans les secteurs fortement réglementés comme les services financiers et la santé.
L'autorisation à granularité fine est plus sûre, précise et évolutive
Dans un environnement SaaS moderne, les organisations peuvent avoir besoin d'accorder l'accès aux projets, aux actifs et aux capacités selon une gamme plus granulaire de paramètres, et aux utilisateurs internes et externes d'une organisation. Pensez, par exemple, à une application de dossier médical qui doit être accessible à la fois aux professionnels de la santé et aux patients, avec différents niveaux de visibilité des informations autorisés.
Autorisation affinée (FGA) offre plus d’options pour accorder des autorisations précisément définies aux projets, aux enregistrements, aux fichiers, etc. Lorsque vous centralisez cette approche (plutôt que de l’intégrer dans le code de l’application), cela peut vous faciliter grandement la vie de vos développeurs. Ils peuvent plus facilement s’adapter à l’augmentation des demandes d’autorisation nouvelles et changeantes tout en maintenant des niveaux de sécurité et de conformité plus élevés.
Cinq questions à vous poser sur FGA
Vous n'êtes toujours pas sûr que votre organisation ait besoin d'une solution pour FGA ? Voici cinq questions clés à poser :
- Ajoutez-vous ou améliorez-vous les fonctions de collaboration au sein de votre solution ? Que votre solution aide les gens à travailler ensemble sur un projet plus efficacement, à accéder à des ressources telles que les services bancaires mobiles ou les dossiers médicaux, ou à interagir en temps réel, davantage de capacités de collaboration et de partage entraînent des exigences d'autorisation plus complexes.
- Avez-vous des exigences d'audit et de conformité importantes et/ou vendez-vous à des entreprises ayant des exigences d'audit/conformité importantes ?
De nombreuses applications SaaS d'aujourd'hui doivent également prendre en charge les règles de conformité et d'audit, en particulier dans les secteurs de la finance, de la santé et des services juridiques. La logique d'autorisation décentralisée est difficile à auditer et peut entraîner des risques de sécurité et de conformité. - Avez-vous besoin d'un contrôle d'autorisation plus granulaire et flexible que celui fourni par RBAC ?
Lorsque vous devez accorder l'accès à des applications en fonction d'une combinaison de paramètres plutôt que d'un seul, le contrôle d'accès basé sur les rôles (RBAC) peut être limitatif. Votre application est peut-être utilisée par des collaborateurs internes et externes qui ont besoin de différents niveaux d'accès, ou vous avez des situations où un utilisateur peut avoir besoin d'accéder à une application pendant une durée limitée (pour dépanner un ticket d'assistance, par exemple). - Est-il difficile d'avoir une visibilité sur qui peut accéder à quoi
?
Idéalement, vous souhaitez gérer et mettre en œuvre de manière centralisée le contrôle d'accès et les autorisations dans l'ensemble du paysage SaaS. - Vos développeurs passent-ils trop de temps sur l'autorisation en général ? La création de capacités d'autorisation et l'activation et la désactivation des autorisations au niveau du code prennent du temps et peuvent augmenter les risques de sécurité. C'est du temps qui pourrait plutôt être consacré à l'innovation produit.
Si vous avez répondu « oui » à l'une des questions ci-dessus, il est temps de faire évoluer votre stratégie de contrôle d'accès. Okta propose une introduction qui peut vous aider à vous mettre sur la voie d'une autorisation plus évolutive, flexible, conforme et sécurisée. Lisez notre livre blanc sur Okta Fine Grained Authorization pour en savoir plus.
