Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Harmonie Technologie : IAM et ITSM des liaisons pas si dangereuses

octobre 2017 par Thomas Jolivet Directeur du pôle IAM du cabinet HARMONIE TECHNOLOGIE

D’un point de vue utilisateur, faire une demande de compte ou de droit d’accès est une demande de service IT comme une autre. Devoir utiliser deux interfaces différentes pour demander une habilitation et pour demander un asset informatique peut sembler absurde. Dans les deux cas l’utilisateur effectue une demande de ressource qu’il sélectionne dans un catalogue et lance un processus de traitement de sa demande. Si les enjeux divergent, la question de la convergence se pose à juste titre pour les utilisateurs des deux services ITSM (demande de ressource IT) et IAM (demande d’habilitation). Thomas Jolivet Directeur du pôle IAM du cabinet HARMONIE TECHNOLOGIE revient sur les scénarios possibles pour organiser leur cohabitation, leur coopération voire leur intégration pour améliorer l’expérience utilisateur.

IAM et ITSM : Deux services et deux interfaces pour des processus très proches
Au de-là de l’interface de demande avec des processus très proches, les deux outils se distinguent dans leur mode de fonctionnement et dans les enjeux qu’ils portent. Les outils d’ITSM gèrent des demandes de services IT alors que les outils d’IAM visent à maitriser le risque lié aux droits d’accès.

Les services ITSM permettent de traiter des demandes de ressources (un PC, une imprimante, un email…) mais également des demandes de résolutions d’incidents liés aux services IT (une perte du réseau, une panne, une installation de software sur le poste…). Ils permettent la création de tickets qui sont attribués aux équipes compétentes pour le traitement de la demande. L’enjeu est de gérer les demandes de service auprès des équipes IT avec efficience et de tracer la gestion de ces demandes.

Un service IAM quant à lui, a pour vocation de gérer l’attribution des droits d’accès des utilisateurs du SI. Si les accès peuvent être attribués au travers de demandes faites par les utilisateurs, une partie des accès est calculée en fonction des événements du cycle de vie des identités (Arrivée, Mobilité, Départ). L’IAM vise à outiller les workflows d’approbation des demandes par les managers, les propriétaires des ressources, etc. Une deuxième particularité de l’IAM est sa capacité à automatiser la création des comptes et l’attribution des droits dans les référentiels cibles de sécurité. Enfin la solution d’IAM a vocation à être le référentiel des droits d’accès accordés aux utilisateurs. L’IAM permet ainsi de garantir la suppression des accès aux utilisateurs qui ne sont plus légitimes suite aux mobilités ou aux départs. L’enjeux est de maîtriser le risque lié aux droits d’accès attribués aux utilisateurs.

IAM et ITSM : 3 scénarios de convergence possibles pour améliorer l’expérience utilisateur

Trois scénarios principaux peuvent être évoqués : L’IAM comme interface utilisateur unique, l’outil d’ITSM comme interface unique, et enfin une intégration hybride.

Les solutions d’IAM et d’ITSM permettent maintenant d’intégrer des fonctionnalités externes aux solutions sous forme de plugins, de webservices ou d’appel à des API. Une première option est d’exposer dans l’interface de la solution d’IAM des fonctionnalités ITSM ou de faire l’inverse : exposer le catalogue de droits d’accès de l’IAM dans l’interface ITSM. S’ils répondent à l’objectif de réduire le nombre d’IHM pour les utilisateurs, ces deux scénarios impliquent un effort d’intégration et créent une dépendance technique entre les deux processus.

Aujourd’hui l’alternative la plus mature et la plus souvent retenue consiste à conserver deux interfaces utilisateurs et de clarifier leurs rôles réciproques. L’ITSM est conservé pour la gestion des incidents informatiques, l’outil d’IAM porte quant à lui la gestion des demandes de ressources de toute nature. Il s’agit alors de porter dans l’IAM le catalogue de ressource de l’ITSM. Les ressources IT bénéficient alors de la gestion évènementielle et des circuits d’approbation portés par l’IAM. Enfin les solutions d’IAM étant en mesure de créer des tickets dans la solution d’ITSM, l’impact sur le traitement aval des demandes de ressources IT est minimisé. Les équipes en charge de gérer l’attribution de machine continuent de recevoir des demandes sous forme de ticket gérés dans l’outil d’ITSM, même si la demande a été initiée automatiquement dans l’IAM suite à la détection d’une arrivée d’une nouvelle identité et que la demande a été approuvée dans l’outil d’IAM. 

La complexité réside en réalité sur la synchronisation des données d’identités (structure et personnes) entre les solutions IAM et ITSM. Il s’agit encore d’un choix essentiel lors de la conception de l’architecture.

Au-delà des enjeux de sécurité et de gestion du risque associés, il est possible de simplifier la vie des utilisateurs sans perturber celle des équipes IT en charge de mettre en œuvre les demandes de ressources. Un bénéfice collatéral de plus à valoriser lors de la mise en place d’une solution d’IAM. 


Voir les articles précédents

    

Voir les articles suivants