La vision d’Okta pour Universal Directory s’articule autour d’une conception centralisée de la gestion des identités, qui permet aux clients d’intégrer n’importe quelle pile technologique à un annuaire cloud central complet, gage d’une gestion unifiée. Dans le monde actuel, cependant, la gestion unifiée des identités est un chemin semé d’embûches.
Avec des effectifs mêlant employés, prestataires, travailleurs saisonniers et partenaires commerciaux, les entreprises adoptent des structures organisationnelles complexes qui doivent composer avec de multiples filiales, régions, divisions et/ou entités, sans compter les répercussions des fusions et acquisitions.
Pour offrir une flexibilité dans la modélisation des identités, Okta introduit Realms afin de permettre aux clients d’exploiter Universal Directory en tant que plan de gestion central pour des cas d’usage uniques. Realms est une nouvelle structure d’annuaire qui permet aux clients de segmenter les populations d’utilisateurs dans une seule organisation en fonction de leurs besoins spécifiques. Parallèlement aux modèles de déploiement de type hub-and-spoke, Realms offre aux clients davantage d’options pour structurer leurs organisations. Realms est désormais disponible en version GA via Okta Identity Governance et Secure Partner Access.
Le défi de l’identité unifiée
Les équipes IT ont souvent du mal à gérer des utilisateurs hétérogènes à l’échelle mondiale, provenant de sources diverses. Cette complexité peut générer des environnements technologiques fragmentés, des difficultés à implémenter le principe du moindre privilège et un ralentissement de la productivité des équipes, ce qui entrave en fin de compte la croissance de l’entreprise.
Pour surmonter ces défis, les entreprises se tournent actuellement vers des architectures de type hub-and-spoke pour segmenter et déléguer la gestion de populations d’utilisateurs mutuellement exclusives. Bien qu’une architecture de ce type offre un moyen efficace de délimiter les populations d’utilisateurs, notamment pour répondre aux exigences de conformité des différentes régions, elle peut également augmenter considérablement la charge de travail des administrateurs qui cherchent à gérer des populations d’utilisateurs distinctes. Les entreprises et les équipes IT ont besoin d’un moyen centralisé de gérer toutes les identités et de disposer d’une visibilité globale sur l’accès aux applications.
Les atouts de Realms
Realms introduit une segmentation stricte des populations au sein d’une organisation, offrant aux administrateurs une expérience rationalisée et sécurisée qui leur permet de :
- Gérer des organisations dynamiques avec des populations d’utilisateurs distinctes (entités, acquisitions, filiales, divisions, etc.)
- Déléguer l’administration de populations d’utilisateurs distinctes à des administrateurs de centres d’assistance locaux
- Augmenter l’efficacité de votre service IT et réduire le nombre de tickets de gestion des utilisateurs adressés aux équipes IT centrales
Modélisation de populations distinctes au sein d’une organisation unique
Grâce à Realms, les administrateurs peuvent segmenter les utilisateurs en populations mutuellement exclusives au sein d’une seule organisation. Cette approche définit des limites strictes entre les segments d’utilisateurs, avec comme double objectif de protéger les données des utilisateurs et de déléguer en toute sécurité la gestion de sous-ensembles de l’effectif sans dupliquer les utilisateurs ou les politiques dans des organisations distinctes.
Désignation automatisée pour simplifier l’onboarding des utilisateurs
Grâce aux nouvelles affectations Realms, les nouveaux utilisateurs peuvent être automatiquement ajoutés au bon realm sans aucune intervention de l’administrateur. L’automatisation du processus améliore l’agilité de l’onboarding des utilisateurs, un facteur particulièrement important pour les grandes entreprises où les utilisateurs proviennent de sources RH, de fournisseurs d’identité (IdP) et d’autres annuaires.
Délégation de la gestion des utilisateurs
Via le framework de personnalisation des rôles administrateurs, il est possible de créer des rôles flexibles « administrateur de realm » pour gérer des tâches telles que la réinitialisation des mots de passe, la création d’utilisateurs et l’attribution d’applications ou de groupes dont le champ d’action correspond à la population d’utilisateurs d’un realm particulier. Ces rôles améliorent l’évolutivité et l’efficacité des équipes IT, de même qu’ils réduisent la charge des équipes centrales d’administration IT. Ces équipes centrales peuvent déléguer aux administrateurs locaux les tâches de support de routine pour un sous-ensemble spécifique de la population d’utilisateurs, tout en limitant l’accès de ces administrateurs et en évitant de leur affecter des privilèges excessifs.
Gestion automatisée des realms
L’outil Workflows permet aux administrateurs de créer, lire, mettre à jour et supprimer automatiquement des realms, tout en automatisant la création d’utilisateurs et le déplacement entre les realms. Il offre un moyen d’automatiser et de faciliter les actions répétitives, libérant ainsi les équipes IT et éliminant les tâches manuelles.
Gouvernance centralisée pour l’ensemble des effectifs
En utilisant le langage d’expression, les campagnes Access Certification et les politiques de gestion des droits peuvent se voir définir un champ d’application correspondant à des utilisateurs dans un ou plusieurs realms. Cette approche permet d’appliquer la gouvernance à plusieurs populations d’utilisateurs au sein d’une seule organisation. A contrario, les clients utilisant plusieurs organisations pour parvenir à une délégation d’administration ne peuvent pas exécuter des campagnes globales couvrant toute l’entreprise, ce qui conduit à une approche fragmentée de la gouvernance.
Une approche optimisée
La fonction Realms contribue à accélérer la croissance et les résultats métier en renforçant la sécurité et l’efficacité de la gestion des identités au sein d’une seule organisation.
Modèles de déploiement flexibles
Les utilisateurs peuvent choisir comment structurer une organisation : en tirant parti des realms, de plusieurs organisations ou des deux. Les entreprises disposant de segmentations logiques des utilisateurs et des équipes IT cloisonnées ou externalisées doivent donner aux administrateurs l’accès à la console d’administration pour effectuer des actions clés.
Cependant, même avec la flexibilité des rôles d’administrateur personnalisés, le périmètre d’accès est souvent trop élevé pour ces administrateurs. Cela peut inciter les équipes IT à se tourner vers des déploiements multi-organisations pour segmenter les populations d’utilisateurs.
L’outil Realms introduit une flexibilité architecturale dans la modélisation de ces segments. Il permet de déléguer les tâches liées à la gestion des utilisateurs, tandis que l’équipe IT centrale conserve un emplacement unique pour gérer les politiques, les applications et la gouvernance de l’ensemble de la population d’utilisateurs.
Gouvernance centralisée
La gouvernance est appliquée au niveau de l’organisation, ce qui entraîne une structure de gouvernance fragmentée pour les clients possédant plusieurs organisations. En tirant parti des realms, un administrateur d’organisation de niveau supérieur peut intégrer tous les utilisateurs dans une organisation centrale avec des segments distincts.
Il peut ensuite exécuter des campagnes sur l’ensemble de la population d’utilisateurs (ou sur un segment de la population) tout en déléguant les actions de correction aux « administrateurs de realm » désignés. Les administrateurs IT globaux peuvent consulter les résultats complets d’une campagne sur l’ensemble de l’organisation sans avoir à réconcilier manuellement les résultats entre les organisations ou les campagnes fragmentées.
Agilité accélérée en cas de fusions et acquisitions
Les organisations de haut niveau peuvent utiliser les realms pour accorder efficacement l’accès aux applications critiques, tandis que la stratégie d’intégration IT et la structure organisationnelle sont établies. Les utilisateurs peuvent être segmentés dans leurs propres realms, et les administrateurs peuvent être délégués aux administrateurs de la société acquise sans leur donner accès à l’ensemble de l’organisation ni à la console d’administration. Les administrateurs IT de l’organisation de haut niveau bénéficient d’un moyen simple et sécurisé de réaliser l’onboarding des utilisateurs et de maintenir la visibilité sur toutes les affectations d’applications, tout en déléguant la gestion.
Optimisation des opérations IT
Les entreprises peuvent rationaliser les tâches d’administration IT globale en permettant aux administrateurs IT globaux de se concentrer sur la stratégie et l’infrastructure tout en déléguant les actions quotidiennes liées à la gestion des utilisateurs aux administrateurs de centres d’assistance locaux. Les entreprises peuvent ainsi déléguer la gestion sans nuire à la visibilité et sans créer de silos. Les structures complexes peuvent éliminer la fragmentation des identités utilisateurs et consolider des populations d’utilisateurs distinctes en une vue unifiée, sans créer de charge pour les équipes IT globales.
Avant et après
Les entreprises complexes sont structurées selon différents modèles :
- Plusieurs organisations distinctes non connectées
- Plusieurs organisations connectées via Org2Org, souvent selon un modèle hub-and-spoke
- Une seule organisation où les populations sont organisées en groupes non distincts
Plusieurs organisations
À l’heure actuelle, une entreprise peut être configurée avec des employés de différentes entités ou divisions, existant dans des organisations distinctes. Les administrateurs Okta doivent gérer les utilisateurs et les affectations d’applications séparément pour chaque organisation. De plus, les utilisateurs sont gouvernés au niveau de l’organisation, et la gouvernance ne peut pas s’étendre à des organisations distinctes.
Grâce à l’option Realms, des populations d’utilisateurs distinctes peuvent exister dans des segments mutuellement exclusifs au sein d’une même organisation. Les administrateurs de realms peuvent ensuite gérer les utilisateurs au sein de leurs propres realms sans leur accorder des privilèges excessifs. Les campagnes de gouvernance peuvent être limitées à un seul realm ou s’étendre sur plusieurs.
Modèle hub-and-spoke
Une organisation peut également être configurée selon un modèle hub-and-spoke où les partenaires, les filiales ou les acquisitions existent dans des organisations jouant le rôle de spoke. De nombreux utilisateurs, voire tous, peuvent être dupliqués dans l’organisation spoke pour un accès partagé aux applications.
Avec Realms, les populations d’utilisateurs distinctes dans l’organisation hub peuvent d’abord être divisées en realms afin de segmenter les populations mutuellement exclusives de chaque organisation spoke. De cette façon, les utilisateurs peuvent toujours partager l’accès aux applications et aux politiques, mais d’un point de vue de l’administration, les populations d’utilisateurs peuvent rester séparées.
En fin de compte, cette approche peut favoriser la stratégie à long terme en facilitant le regroupement des organisations spoke dans l’organisation centrale, afin de réduire la duplication des utilisateurs et les charges dans l’ensemble des organisations.
Premiers pas avec Realms
Realms est disponible en version GA en tant que composant d’Okta Identity Governance et Secure Partner Access. Consultez la documentation produit et activez Realms dans votre organisation.
De plus, Realms s’intègre à de nombreuses solutions Okta. Consultez notre documentation pour en savoir plus sur les domaines suivants :
