Bien penser la création de votre application ou service dès le départ

Sommaire

Faites des économies grâce à une solution d’identité capable d’accompagner l’évolution de votre entreprise

TL;DR Vous ne voulez pas ajouter une autre page web à votre liste de lecture ? Nous avons une version facile à consulter, disponible immédiatement en téléchargement ici.

Le processus de développement de votre application ou de votre service ne se limite pas à la création de cette application ou de ce service : il inclut également la technologie de base sur laquelle s’appuient ce processus et votre résultat final.

Les PME sont souvent confrontées à des décisions difficiles à l’heure d’allouer des fonds, du temps et de la bande passante mentale. Par exemple, vous utilisez peut-être Twilio pour la communication ou Stripe pour les paiements en ligne, parce que l’achat de ces outils fait gagner du temps à votre équipe et la décharge des tâches de développement et de maintenance dans ces domaines particuliers.

L’un des aspects les plus fondamentaux du développement de votre application ou service réside dans votre approche de la gestion des identités et des accès (IAM). Comme pour d’autres outils, de nombreuses possibilités s’offrent à vous lorsqu’il s’agit de choisir une solution IAM performante.

Conception de toutes pièces
Achat de solutions isolées
Investissement dans une offre packagée

Chaque option nécessite des ressources pour que le projet soit couronné de succès, mais le type des ressources requises peut varier. La plupart des entreprises recherchent des solutions capables d’accompagner leur croissance, de réduire les délais de lancement et de répondre aux attentes de leurs utilisateurs, tout en restant dans un budget raisonnable. Elles ont besoin d’une option qui évolue, s’adapte et accompagne l’activité à chaque étape de son évolution.

Cependant, elles ignorent souvent des domaines clés. Cet article de blog vise à offrir des informations pertinentes et des conseils pratiques qui faciliteront le processus de création d’application et vous permettront de prendre des décisions éclairées en matière d’identité, qui non seulement accélèrent le lancement, mais favorisent également la réussite de votre entreprise à long terme.

Une conception bien pensée

Aujourd’hui, votre attention se porte sur l’espace de connexion. Mais quelles seront les exigences du marché, des utilisateurs et des partenaires demain ? Comment se préparer lorsque les attentes du marché et la technologie évoluent constamment ?

Le choix d’un écosystème d’identités robuste pour soutenir votre entreprise ne peut pas se résumer à l’étude des produits disponibles. Les délais de lancement, la fiabilité, l’évolutivité, les données et la sécurité sont autant d’éléments susceptibles d’être affectés par ce choix.

Ne sous-estimez pas la complexité d’un service d’identité complet

L’identité est un domaine compliqué. La complexité des fonctionnalités et des systèmes peut être sous-estimée et ne cesse d’évoluer. Les ressources de développement internes sont probablement capables de gérer certains aspects basiques de l’identité, comme la création de comptes, la connexion et la réinitialisation des mots de passe. Cependant, le développement et la gestion de fonctionnalités avancées telles que l’authentification unique (SSO), le partitionnement des données clients, l’authentification par token, l’authentification multifacteur (MFA), la connexion via un réseau social et l’intégration des annuaires LDAP/Active Directory exigent des efforts considérables.

Lorsque vous envisagez des solutions, parcourez les sites web des fournisseurs IAM et étudiez les produits et leurs fonctionnalités. De quelles fonctionnalités aurez-vous besoin, immédiatement ou dans un an ? Si certains produits ou fonctionnalités ne sont pas inclus, pourriez-vous les développer avec l’équipe dont vous disposez actuellement, sans monopoliser les ressources du cœur de métier ? Devrez-vous embaucher des spécialistes ou consacrer des ressources au développement à terme ?

Exigences en matière de gestion des identités et des accès

Composant IAM	Description
Interface d’administration	Interface utilisateur d’administration permettant de gérer les utilisateurs, applications et API avec définition du champ d’application des rôles d’administration.
Politiques d’authentification	Politiques et framework de règles configurables pour contrôler la connexion en fonction du contexte — utilisateur, application, groupe, géolocalisation, plage d’adresses IP, comportement, terminal, etc.
Création d’un serveur d’autorisation	Création d’un moteur d’autorisations propre à la logique métier, avec demandes et champs d’application personnalisables.
Interface client	Interface d’assistance client permettant de gérer les informations de profils clients avec définition du champ d’application des rôles d’administration.
Déploiement d’un annuaire avec profils / utilisateurs / groupes / clients évolutifs	Référentiel d’utilisateurs évolutif offrant un profil utilisateur et des groupes d’utilisateurs flexibles et incluant le serveur d’applications d’annuaire, la base de données, la base de données de l’application et le chiffrement.
Déploiement d’un service d’émission de tokens	Service évolutif permettant de suivre chaque session utilisateur, avec maintenance et correction continues de la base de données.
Intégration d’annuaires/de fournisseurs d’identité (IdP)	Création d’intégrations avec des annuaires externes comme Active Directory/LDAP et prise en charge de la fédération en entrée via SAML, OIDC et WS-Fed pour les fournisseurs d’identité (IdP) existants.
Intégration avec des gateways	Intégration avec les API gateways telles que Mulesoft et Apigee.
Implémentation de protocoles	Assimilation des spécifications SAML, OIDC, OAuth 2.0.
MFA	Authentification MFA redondante, haute disponibilité, compatible avec plusieurs facteurs (SMS, appel vocal, e-mail, Google Authenticator, biométrie, notification push).
Configuration, maintenance et verrouillage du système d’exploitation	Personnalisation du système d’exploitation et du logiciel serveur en vue d’éliminer les vulnérabilités.
Enregistrement et protection des mots de passe	Hachage des mots de passe au moyen des algorithmes les plus récents et mise à jour continue en fonction de l’évolution des méthodes.
Connecteurs de provisioning	Création personnalisée, mise à jour et test de connecteurs basés sur des API pour gérer les fonctions de création, lecture, mise à jour et suppression.
Moteur de provisioning	Moteur de gestion des objets utilisateurs dans les services en aval.
Enregistrement, connexion, récupération de comptes, écrans MFA	Création d’interfaces utilisateurs et de workflows, hébergement de pages de connexion et d’inscription.
Reporting	Tableau de bord pour consulter sur l’état global des utilisateurs et des applications. Accès intuitif aux métriques et rapports sur les utilisateurs à des fins de conformité.
Authentification sociale et synchronisation des profils	Réalisation de l’authentification pour un fournisseur d’identité sociale, et synchronisation des attributs de profils.
Connecteurs SSO	Création personnalisée, mise à jour et test de connecteurs SSO destinés à des applications tierces.
Fin de connexion SSL	Établissement et actualisation d’une connexion sécurisée avec un client via HTTPS. Gestion d’un certificat web pour un domaine. Configuration et mise à jour corrective d’une connexion SSL/TLS. Actualisation de la cryptographie.

Préparez-vous à la dérive des objectifs

Au fur et à mesure que votre activité se développe, les utilisateurs peuvent exiger des fonctionnalités plus nombreuses et plus riches. D’une certaine manière, la dérive des objectifs est le résultat naturel de l’évolution des exigences des utilisateurs finaux en termes de fonctionnalités et d’expérience. Parallèlement, il peut être difficile de prévoir les besoins ou les volumes d’utilisateurs futurs lorsque vos applications commencent à rencontrer leur public. Les taux de dérive des objectifs sont élevés et, dans une certaine mesure, attendus. Bien que les taux varient, les entreprises ne disposant pas d’un système de gestion du périmètre projet constatent une dérive des objectifs dans 66 % des cas, tandis que les entreprises disposant d’un système de gestion du périmètre projet enregistrent une dérive des objectifs dans 39 % des projets. Si vous n’y êtes pas préparé, vous pouvez vous retrouver victime de votre succès.

Cependant, à l’heure actuelle, les clients sont de plus en plus demandeurs de fonctionnalités sophistiquées et de sécurité renforcée, ce qui étend souvent le périmètre des projets. Par ailleurs, les entreprises commencent rapidement à développer des applications supplémentaires et peuvent finir par réinventer la roue si les équipes de développement ne sont pas en communication constante. En conséquence, les équipes individuelles sous-estiment souvent la difficulté de créer un service d’identité complet pérenne, ce qui entraîne un dépassement des délais (et une diminution du retoour sur investissement).

Soyez prêt à assurer la gestion et la mise à l’échelle

Lors de la planification d’une solution d’identité, n’oubliez pas d’inclure les besoins continus de gestion, mise à jour, mise à l’échelle et innovation.

Par ailleurs, les exigences en matière d’identité évoluent constamment. Les normes, exigences et technologies peuvent nécessiter une expertise et un budget continus pour rester à jour. Les protocoles SAML et WS-Fed ont évolué vers des standards plus modernes tels qu’OpenID Connect et Oauth 2.0. Certains éléments de ces standards ont évolué à mesure que des vulnérabilités ont été identifiées. En outre, certaines exigences des entreprises, telles que le déprovisioning de l’accès aux API par la révocation des tokens, pourraient ne pas avoir été envisagées initialement dans le standard. Si vous prévoyez de servir des entreprises ou si vous en comptez déjà parmi vos clients, vous devrez mettre en place et gérer une sécurité conçue pour les entreprises qui réponde à leurs exigences en matière de conformité.

Préparation à l’open source

Le prix des solutions open source les rend attrayantes. Mais n’oubliez pas : elles ne sont pas toujours « gratuites ». Vous devrez toujours assumer des coûts, notamment s’agissant du temps consacré par les développeurs à l’installation du logiciel, aux essais et aux tests, à la détection des bugs, à l’évaluation de la sécurité et de la vulnérabilité des composants, ainsi qu’à la maintenance et la pérennisation régulières de la solution. En effet, les solutions open source sont rarement assorties d’un service de support. La maintenance et la pérennisation relèvent de votre responsabilité. C’est vous, l’entreprise, qui êtes responsable de l’exposition aux risques de sécurité liés à l’absence de mises à jour automatiques et de correction des vulnérabilités dans le code open source.

Pour savoir quelles exigences de conformité s’appliquent à votre entreprise et à votre secteur d’activité et si vous pouvez utiliser les services d’Okta pour les respecter, vous devez contacter votre équipe juridique. Vous trouverez ici des informations sur la conformité d’Okta à une série de certifications et d’autorisations standard du marché.

Même si votre projet échappe à la dérive des objectifs (ou à la nécessité d’évoluer pour s’adapter à votre base d’utilisateurs), les coûts de maintenance continus sont une réalité à laquelle vous ne pourrez pas échapper. L’obligation d’assurer des mises à jour et une maintenance transparentes pour garantir un service ininterrompu engendre des coûts, parfois élevés, à mesure que le marché évolue. La maintenance à elle seule peut accaparer les ressources de développement au détriment de vos produits stratégiques.

Alignement sur les ressources de développement disponibles

La façon dont vous rentabilisez vos ressources de développement peut permettre à votre entreprise d’exceller. Même si l’identité n’est pas votre cœur de métier, en tant que composant de base soutenant l’ensemble de votre activité, la maintenance de l’identité doit être assurée comme si elle l’était. Dans les PME, les collaborateurs doivent souvent porter plusieurs casquettes, ce qui oblige à gérer avec soin les attributions de l’IT et des développeurs.

Les entreprises peuvent également sous-estimer l’expertise technique spécialisée nécessaire au développement d’une fonction d’identité sécurisée et évolutive pour leurs applications. En effet, la gestion du processus d’autorisation exige que l’équipe de développement possède des connaissances techniques variées, notamment en matière de cryptographie, sécurité des bases de données, ingénierie de la performance, ingénierie système, audit de sécurité et architecture de données avancée. Dans la mesure où les développeurs spécialisés sont rares, un grand nombre d’entreprises peuvent avoir des difficultés à trouver les ressources nécessaires pour terminer le travail en interne, surtout dans un délai serré.

Conseil de pro : pendant la phase de développement, veillez à éviter les pièges les plus fréquents.

Conserver des modèles ou des approches obsolètes
Exiger trop d’efforts et de données à l’utilisateur dès le départ
Croire que vous avez besoin d’un espace de connexion intégré (mobile ou site web) pour offrir la meilleure expérience utilisateur
Croire que vos clients B2B doivent s’authentifier à l’aide de noms d’utilisateur et de mots de passe
Croire que vous devez tout coder pour garder le contrôle

Alternatives au développement en interne

Le coût initial moins élevé d’une solution interne présente des avantages, tout comme la possibilité de garder le contrôle sur certaines parties de votre pile. À condition d’avoir du temps, du personnel qualifié et du budget. Mais si le coût global d’un développement en interne n’est pas en adéquation avec vos objectifs, la prochaine étape logique consiste à se décharger d’une partie de ce fardeau en adoptant un outil prêt à l’emploi.

Tout repose sur l’équilibre des ressources de développement. Les équipes de développement se tournent de plus en plus vers les outils prêts à l’emploi pour se décharger de certaines tâches de développement d’applications. L’IAM leur pose de nombreuses difficultés, qu’une couche d’identités fiable peut les aider à résoudre facilement. Cette stratégie est indiquée pour les entreprises de toutes tailles qui cherchent à écourter leurs délais de lancement, à réduire leurs coûts et à concentrer leurs équipes de développement sur les fonctionnalités essentielles, entre autres avantages.

Vous ne savez pas quelles sont les fonctionnalités indispensables, ou par où commencer en matière d’identité ? Lisez notre Checklist de l’identité pour les PME pour vous familiariser avec les questions à vous poser lors de la planification de votre solution d’identité.

Les pièges potentiels de l’achat sont similaires à ceux du développement interne. Les demi-mesures sont à éviter à tout prix, car elles créent un scénario où on ne s’engage pas complètement, pour ensuite se rendre compte que ce n’est pas une solution tenable à long terme. C’est souvent ce qui se produit en cas d’achat de solutions isolées, qui ont peut-être été ajoutées à un stade tardif du processus de développement de l’application ou après que les ressources de développement ont été allouées à d’autres projets. Malheureusement, un déficit technologique peut rapidement s’accumuler dans la mesure où les silos technologiques ajoutent de nouveaux points de défaillance potentiels à votre écosystème. À un moment ou un autre, toutes ces solutions isolées devront être intégrées à une plateforme commune.

Comment bien choisir

1. Préparation

Définissez vos besoins actuels les plus immédiats.
Déterminez vos objectifs à six mois.
Déterminez vos objectifs à un an.
Entendez-vous collectivement sur les indispensables et les composants qui accélèrent votre roadmap.

2. Options de recherche

Étudiez les différents fournisseurs de services d’identité.
Réduisez progressivement le nombre de candidats.
- Consultez vos pairs, les forums d’utilisateurs, des analystes et des clients.
Vérifiez que vos trois premiers choix potentiels peuvent répondre à votre liste d’indispensables.

3. Test (à petite échelle, étendu progressivement)

Recherchez des solutions qui offrent un moyen rapide d’imaginer des scénarios et de les tester.
- Un bon point supplémentaire est octroyé si la solution offre une possibilité de paiement à la consommation ou permet la montée en charge en fonction de l’évolution des activités.
Privilégiez les solutions offrant un guide de démarrage complet.
Assurez-vous que la solution bénéficie du soutien d’une communauté active à laquelle vous pouvez faire appel en cas de problème ou de question en cours de route.

Conseil de pro
N’oubliez pas de lire les témoignages clients ou les études de cas. Ceux-ci sont généralement disponibles sur les sites web des fournisseurs et donnent des informations détaillées et personnelles sur les défis rencontrés et solutions adoptées au cours des parcours de développement d’une solution d’identité, notamment par des entreprises qui ont abandonné le développement d’une solution d’identité en interne.

Démonstration de faisabilité (PoC)

Si vous êtes curieux de savoir ce qu’un fournisseur IDaaS peut faire pour vous, demandez un essai gratuit et lancez une démonstration de faisabilité (PoC). Il s’agit d’un excellent moyen de découvrir un produit et de recueillir des données vous-même. Combien de temps faut-il aux développeurs pour en faire un modèle viable et le tester ? Les ressources et la documentation sont-elles faciles à utiliser et à se procurer ? Le support client ou l’équipe commerciale sont-ils disponibles pour répondre à vos questions ? Les interactions avec l’entreprise sont-elles agréables ?

En savoir plus

Quelle que soit la direction prise par votre entreprise en matière d’identité, la connaissance fera votre force. Pour gagner du temps et en savoir plus, consultez Page d’accueil Okta destinée aux PME pour découvrir comment l’identité peut aider les PME. Vous pouvez également lire notre checklist pour les PME, qui présente les principales façons dont l’identité peut soutenir votre entreprise et vous aide à préparer l’avenir.

Vous voulez savoir ce qu'Okta peut offrir localement ? Nous avons un essai gratuit de 30 jours que vous pouvez essayer dès aujourd'hui.

D'autres questions ? Nous avons des ressources spécialement conçues pour aider les PME ci-dessous, et notre équipe Sales est prête à répondre à toutes vos questions.

Le présent document et toute recommandation qu’il propose ne constituent pas des conseils juridiques, commerciaux, ou encore de confidentialité, sécurité et conformité. Le contenu de ce document revêt un caractère purement informatif et pourrait ne pas refléter les normes de sécurité, de confidentialité et les réglementations les plus récentes, ou tous les problèmes pertinents. Pour obtenir de tels conseils, il vous revient de vous adresser à votre conseiller juridique ou à tout autre conseiller professionnel en matière de sécurité, confidentialité ou conformité, et de ne pas vous en remettre aux recommandations formulées dans le présent document. Okta ne formule aucune déclaration, garantie ou autre assurance concernant le contenu de cet article. Pour en savoir plus sur les assurances contractuelles d’Okta à ses clients, rendez-vous à cette adresse okta.com/agreements.

Ressources

Checklist de l’identité pour les PME

Sécurisez votre entreprise grâce à l’identité

Protégez vos collaborateurs avec le MFA

Développer ou acheter ? Faire le bon choix en matière d’identités clients

À propos de l’auteur

Frederico Hakamine

Sr. Technical Marketing Manager

Frederico is a jack of all trades and master of none. He has been designing, developing, customizing, and breaking systems for more than 10 years in the field. Frederico spends his time at Okta developing code and promoting Okta’s Adaptive Multi-Factor Authentication Platform. In his spare time, he cracks some code for his wife's startup and works on silly projects like his own beer and music.

Okta

Auth0

Découvrez notre actualité