identity as a service - etude idaas

IDaaS « Identity As A

Service »

Etat de l'art

Evaluation des solutions Retour d'expérience

Démonstration Marc Rousselet – Directeur Le 7 Novembre 2013

07/11/2013 2

1. Introduction

2. Contexte

3. De l’IAM vers l’IDaaS

4. Les offres IDaaS

5. Les freins et les leviers

6. Démonstration

AGENDA

INTRODUCTION

1

3

1 | PROFIL 2 | EXPERTISE 3 | METIERS 4 | AGENCES

4

Qui sommes nous ?

Cabinet de conseil et d’ingénierie

Création en

1996

52 employés début 2013

25 % de croissance en 2012 et 2013

Gouvernance & Gestion des risques

Identités & Accès numériques

Infrastructures sécurisées

Cloud Computing & Mobilité

Conseil : 10%

Intégration : 60%

TMA : 25 %

Formation : 5 %

Paris Marseille Lille Genève

Introduction 07/11/2013

Chronologie de la démarche

Q1-2013

Constitution d’un groupe de travail, lancement de l’étude IDaaS

Définition des critères d’évaluation d’une offre IDaaS

Q2-2013

Evaluation des offres IDaaS du marché,

Certification « Architecture et Cloud Computing » Ecole Centrale Paris

Etude stratégie IDaaS auprès de notre écosystème

Q3-2013

Présentation des scénarios d’adoption auprès d’un panel de clients / prospects

Restitution de l’étude en séminaire interne KERNEL Networks

Q4-2013

Restitution synthétique aux Assises de la sécurité

Présentation des conclusions de l’étude auprès de nos clients, partenaires et prospects

Prochaines étapes

Inclusion des scénarios sur nouveaux usages dans une étude 2014

BYOD – BYOA – BYOI

5 Introduction 07/11/2013

CONTEXTE

2

6

Contexte de l’étude

• 44% des organisations françaises ont déjà adopté une solution de Cloud Computing (IDC),

• Le Cloud Computing tire la croissance du marché de l’IT dans le monde avec une croissance annuelle moyenne de 34% de 2011 à 2016, les secteurs traditionnels sont en diminution,

Constat

• Gartner prévoit qu’à fin 2015, l’IDaaS comptera pour 25% des achats de solutions IAM (5% en 2012),

• D’ici 2014 , 50% des applications seront en mode SaaS dans les organisations françaises, 30% dans les PME (MARKESS),

• Les grandes entreprises intègrent le modèle SaaS dans leur stratégie IT entrainant ainsi :

• Une diminution des ventes de licences des solutions traditionnelles,

• Une baisse progressive des activités de services liées au modèle sur site (on-premise).

Prévisions

• La sécurité constitue un frein à cette transformation: contrôle des accès au monde SaaS, protection des données sensibles , des données personnelles, évolution des contraintes réglementaires, maintient de la conformité

• Une stratégie IAM cohérente permettra de répondre à ces enjeux et d’accompagner l’adoption du Cloud Computing dans l’entreprise

Positionnement de l’IAM

7 Contexte 07/11/2013

Un marché IT en pleine mutation

8 Contexte

Marché Cloud Français 2010-2015

Marché IT Français 2011-2016

07/11/2013

De nouveaux acteurs, une transformation du secteur

9 Contexte 07/11/2013

DE L’IAM VERS L’IDAAS

3

08/03/2013 10

Pourquoi une solution IAM en SaaS ?

• Accompagner l’adoption des applications métiers en mode SaaS • Réduire le Total Cost of Ownership (TCO) de l’IAM :

•Paiement à l'usage en fonction de la population active •Réduction des coûts d’investissements (CAPEX)

• Accompagner vers les nouveaux usages (BYOD, BYOA, nomadisme, mobilité) • Renforcer la sécurité et la gouvernance des accès • Eviter la création de bases de comptes en silos • Améliorer l’expérience utilisateur

Retour de notre panel client

• Réévaluer les besoins réels en IAM de l'entreprise • Rationaliser les processus IAM pour les applications en SaaS et sur site • Définir les critères fonctionnels, techniques et juridiques de la solution

Démarche pour aller vers l’IDaaS

11 De l’IAM vers l’IDaaS 07/11/2013

Enjeux IAM pour le Cloud

12

Gestion des comptes/Provisionning Sources autoritaires Cycle de vie Standards (SPML, XACML, OAUTH) Deprovisionning

Authentification

Exigences Compatibilité entre méthodes Authentification forte/renforcée

Autorisations /Contrôle d’accès

Qui défini le modèle ? Compatibilité entre modèles, délégation Format d’échanges (SAML) et temps de réponse

Conformité

Audit des activités Re-certification des accès Ségrégation des accès

De l’IAM vers l’IDaaS 07/11/2013

Critères d’évaluation d’une solution IDaaS

• La capacité à interagir avec l’IAM sur site

• Les types de user-store supportés, les protocoles Cloud IAM supportés (Oauth, SAML, OpenID, SPML, XACML)

• Les caractéristiques de l’hébergement (AWS, multi-localisation, Cloud public)

• La couverture fonctionnelle selon le périmètre à couvrir

Fonctionnels et Techniques

• Le niveau d’engagement sur :

• Le cloisonnement des données entre clients • Le niveau de service (disponibilité, SLA, PRA, réversibilité, temps de réponse) • Les modalités de réalisation d’un audit externe • Le choix de la localisation des données • Les règlementations applicables

• Le modèle de contractualisation : par souscription, à l’usage, licence ou mixte

• La viabilité du fournisseur : taille, implantations, histoire, positionnement sur le marché, références

Juridiques et économique


IAM non intégré au monde SaaS


IAM intégré au monde SaaS en « Fédération des Identités »


IAM intégré au monde SaaS en mode « IAM Hybride »


IAM intégré au monde SaaS en mode « Full IDaaS »


LES OFFRES IDAAS

4

18

Le rapport Forrester Wave « Cloud IAM » Q3/2012

Description d’une offre IDaaS Gère les droits d’accès pour les employés, les prestataires, les partenaires et les clients

Gère le provisioning vers les applications en mode SaaS, les application sur site et les applications hébergées

Est optionnellement couplée avec une solution IAM traditionnelle

15 critères d’évaluation classés en 3 catégories

Richesse de la solution (fonctionnalités) – 7 critères

Stratégie de l’éditeur – 5 critères

Présence sur le marché – 3 critères

6 acteurs évalués dans la catégorie Cloud IAM Covisint, Lighthouse Security Group, Okta, Simeio Solutions, Simplified et Verizon

Les offres IDaaS 07/11/2013

L’évaluation Forrester des acteurs Cloud IAM

Offre Stratégie Marché

Contrôle d’accès aux applications SaaS

Nombre d’ingénieurs, de commerciaux, nombre total

d’employés CA et croissance

Provisionning vers les applications SaaS et vers les applications

traditionnelles Développements futurs envisagés

Taille et croissance de la base installée

Re-certification des accès Niveau de satisfaction client Les 5 marchés verticaux de

prédilection

Référentiels d’identités supportés Partenaires de l’ecosystème

Multi partage de la solution Protection des informations

personnelles Modèle de tarification

Audit et rapport

Support de l’authentification forte


Autres critères de sélection des vendeurs

Critère Description

Une solution Cloud IAM dédiée

La solution n’est pas un service mineur d’une solution plus globale (exemple Google Apps)

Une véritable solution SaaS pour l’IAM

La solution est déployée en mode service (SaaS )avec une tarification adaptée au modèle

disponibilité au 31/12/11

CA Cloud Minder, Microsoft Azure , Onelogin, Ping Identity PingOne, Intel Cloud SSO sont exclus

Adresse le périmètre entreprise

Les populations adressées sont les employés, prestataires et partenaires. Les acteurs B2C sont exclus

3 références clients A minima, 3 interviews de clients en production avec la solution du vendeur

Perception du vendeur Le vendeur est associé au Cloud IAM spontanément par les clients interviewés

dans les différents Panel d’études du Forrester. Sont exclus Courion, OneLogin and Vmware Horizon


Synthèse de l’évaluation Forrester Wave - Q3 2012

22 Les offres IDaaS 07/11/2013

Actualisation des solutions évaluées

Editeur Nom de la solution Mode

d’hébergement Types d’offres

Okta Okta Cloud Identity and Access Management (IAM) Service

Amazon Web Service

SaaS

Symplified Symplified Amazon Web Service

SaaS

OneLogin OneLogin Hébergement dédié

SaaS

Ping Identity

PingOne Hébergement dédié

Hybride

CA CloudMinder Hébergement dédié

SaaS

SailPoint AccessIQ Hébergement dédié

Hybride


Evaluation des fonctionnalités IAM

24

* Fonctionnalité disponible avec IdentityIQ


Evaluation des acteurs


Synthèse de l’analyse


Synthèse de notre évaluation (1/2)

27

Solutions Points forts Points faibles

Okta Capacité d’investissements Fondateurs ex-SalesForce Stratégie orientée entreprise (AD) Partenaire Cloud Alliance Google Apps

Faible couverture fonctionnelle Pérennité incertaine

Symplified Antériorité sur le marché Déploiement possible en Cloud privé

Moteur de protocole propriétaire Pérennité incertaine

OneLogin Granularité du modèle de souscription Facilité d’utilisation

Nouvel entrant Manque de lisibilité du positionnement entreprise Pérennité incertaine

• Adaptées aux exigences du Cloud,

• Leur viabilité reste à prouver,

• Implantées aux États-Unis mais pas en Europe

Trois solutions « nativement SaaS »


28

Solutions Points forts Points faibles

PingOne Support des protocoles « Fédérations » Plusieurs scénarios d’intégration Antériorité de l’éditeur sur le marché de la fédération

Pas de user store

CloudMinder Facilité de migration d’une solution sur site CA SiteMinder

Modèle de licence non adapté au SaaS Maturité de la solution

AccessIQ Gouvernance des accès Couverture fonctionnelle Gestion des applications personnelles Intégration de produits tiers

Dépendance forte avec IdentityIQ

• Portage de la solution en SaaS (CA CloudMinder)

• Enrichissement d’une solution existante (AccessIQ, PingOne)

• Meilleure présence sur le marché européen

Trois solutions héritées de l’IAM traditionnelle


Synthèse de notre évaluation (2/2)

Les offres du marché en Fédération des Identités


Les offres du marché en IAM hybride


Les offres du marché en IAM full IDaaS


LES FREINS ET LES LEVIERS

5

08/03/2013 32

Scénario 1 : IAM avec Fédération des Identités

33 Les freins et les leviers

FREINS

• Supporter un coût d’intégration pour chaque App SaaS • Délai de réalisation (time to market) • Maintenir une nouvelle infrastructure • Ne supporte pas toujours le provisoning automatique

LEVIERS

• Adapter l’infrastructure aux nouveaux usages • Améliorer l’expérience utilisateur • Garder le contrôle de son infrastructure • Ne pas exposer de données IAM dans le Cloud

07/11/2013

Scénario 2 : IAM hybride


FREIN S

• Exposer ses données IAM dans le Cloud • Pas encore de solution hébergée en France • Viabilité des nouveaux acteurs IDaaS • Maturité des nouvelles solutions

LEVIERS

• Accompagner l'adoption du monde SaaS dans l’entreprise • Réduire les coûts d’intégration de l’IAM • Adapter l’infrastructure aux nouveaux usages • Améliorer l’expérience utilisateur

07/11/2013

Scénario 3 : IAM full IDaaS


FREIN S

LEVIERS

• Exposer ses données IAM dans le Cloud • Pas encore de solution hébergée en France • Viabilité des nouveaux acteurs IDaaS • Maturité des nouvelles solutions

• Réduire les coûts de TCO de l’IAM • Accompagner l'adoption du monde SaaS dans l’entreprise

• Adapter l’infrastructure aux nouveaux usages • Améliorer l’expérience utilisateur

07/11/2013

DEMO D’UNE SOLUTION IDAAS :

6

36

- OKTA avec Office 365, Box et SalesForce

Architecture logique de la plateforme de démonstration

37 Démonstration 07/11/2013

38

Principe de synchronisation AD <=> Okta 1/2

Démonstration 07/11/2013

39

Principes de synchronisation AD <=> Okta

Gestion du provisioning de comptes utilisateurs basée sur les OUs suivants :

Gestion des accès aux applications SaaS basée sur l’appartenance (directe ou via un parent) aux groupes AD suivants :


40

Principe de provisioning IDaaS <=> Applications SaaS


Use case : Arrivée d’un employé sédentaire


Use case : Arrivée d’un employé nomade


Use case : Départ d’un employé nomade


44

Interface d’administration : Page d’accueil 1/2


45

Interface d’administration : Page d’accueil 1/2


46

Interface d’administration : Tableaux de bords


47

Interface d’administration : Rapports détaillés


DES QUESTIONS ?

08/03/2013 48

Annexe 1 : les protocoles IAM du monde SaaS

49 Annexes 07/11/2013

identity as a service - etude idaas

Technology