Qu’est-ce que la gestion du cycle de vie des identités ?

Identity Governance aide les organisations à trouver un équilibre entre productivité (vitesse à laquelle des personnes peuvent accéder aux ressources dont elles ont besoin, par exemple pour joindre mon organisation) et sécurité (comment leur accès doit évoluer au fil du temps, par exemple à la suite de modifications de leur statut professionnel).

La gestion du cycle de vie des identités constitue le fondement d’Identity Governance. Une gouvernance efficace à grande échelle implique la modernisation de l’infrastructure de gestion du cycle de vie des identités pour les applications. La gestion du cycle de vie des identités vise à automatiser et à gérer l’intégralité du processus de cycle de vie des identités numériques pour les personnes affiliées à une organisation.

Diagram of the Microsoft Entra relationship in provisioning with other sources and targets.

Qu’est-ce qu’une identité numérique ?

Une identité numérique est une information sur une entité utilisée par une ou plusieurs ressources de calcul comme des systèmes d’exploitation ou des applications. Ces entités peuvent représenter des personnes, des organisations, des applications ou des appareils. L’identité est généralement décrite par les attributs qui lui sont associés comme le nom, les identificateurs et les propriétés telles que les rôles utilisés pour la gestion des accès. Ces attributs permettent aux systèmes de déterminer notamment qui a accès à quoi et qui est autorisé à utiliser cette ressource.

Gestion du cycle de vie des identités numériques

La gestion des identités numériques est une tâche complexe, en particulier en ce qui concerne la corrélation des objets réels, tels qu’une personne et sa relation avec une organisation en tant qu’employé de celle-ci, avec une représentation numérique. Dans les petites organisations, la représentation numérique des individus qui nécessitent une identité peut être un processus manuel. Par exemple, quand une personne est recrutée ou qu’un prestataire intervient, un spécialiste informatique peut leur créer un compte dans un annuaire et leur attribuer l’accès dont ils ont besoin. Toutefois, dans les organisations de taille moyenne et grande, l’automatisation peut permettre à l’organisation de se mettre à l’échelle plus efficacement et d’assurer la précision des identités.

La procédure classique d’établissement de la gestion du cycle de vie des identités dans une organisation est la suivante :

  1. Déterminez s’il existe déjà des systèmes d’enregistrement : des sources de données que l’organisation considère comme faisant autorité. Par exemple, l’organisation peut avoir un système RH tel que Workday ou SuccessFactors, et ce système fait autorité pour fournir la liste actuelle des employés et certaines de leurs propriétés, telles que le nom ou le service de l’employé. De plus, un système de messagerie tel qu’Exchange Online peut faire autorité pour les attributs supplémentaires, l’adresse e-mail d’un employé.

  2. Connecter ces systèmes d’enregistrement avec l’ID Microsoft Entra et résolvez les incohérences entre les utilisateurs existants dans Microsoft Entra ID et les systèmes d’enregistrement. Par exemple, l’ID Microsoft Entra a peut-être été rempli avec des données désormais obsolètes, telles qu’un compte d’utilisateur pour un ancien employé qui n’est plus affilié à l’organisation.

  3. Une fois que l’ID Microsoft Entra dispose des utilisateurs appropriés, connectez l’ID Microsoft Entra avec un ou plusieurs répertoires et bases de données utilisés par les applications, et résolvez toutes les incohérences entre ces répertoires et la copie du système de données d’enregistrement dans l’ID Microsoft Entra. Par exemple, un annuaire pour une application ayant précédemment été déconnectée peut contenir des données obsolètes telles qu’un compte pour un ancien employé.

  4. Identifiez les processus qui peuvent être utilisés pour fournir des informations faisant autorité en l’absence d’un système d’enregistrement. Par exemple, s’il existe des identités numériques pour des visiteurs et que l’organisation n’a pas de base de données pour les visiteurs, il peut être nécessaire de trouver une autre façon de déterminer quand l’identité numérique d’un visiteur n’est plus nécessaire.

  5. Assurez-vous que les modifications du système d’enregistrement ou d’autres processus sont répliquées via Microsoft Entra ID vers chaque répertoire ou base de données nécessitant une mise à jour.

Gestion du cycle de vie des identités pour représenter des employés et d’autres personnes ayant une relation avec l’organisation

Au moment de la planification de la gestion du cycle de vie des identités pour les employés ou d’autres personnes ayant une relation avec l’organisation comme un prestataire ou un étudiant, de nombreuses organisations modélisent le processus « rejoindre, bouger et quitter » comme suit :

  • Rejoindre : quand une personne a besoin d’un accès, une identité est requise par ces applications et une identité numérique doit peut-être être créée s’il n’en existe aucune déjà disponible
  • Bouger : quand une personne se déplace entre des limites, il peut être nécessaire d’ajouter ou de supprimer des autorisations d’accès à son identité numérique
  • Quitter : quand une personne n’a plus besoin d’un accès, il est possible que celui-ci doive être supprimé et, par la suite, l’identité peut ne plus être requise par les applications, si ce n’est à des fins d’audit ou d’investigation

Par exemple, si un nouvel employé qui n’a jamais été affilié à votre organisation auparavant la rejoint, il aura besoin d’une nouvelle identité numérique, représentée sous la forme d’un compte d’utilisateur dans Microsoft Entra ID. La création de ce compte relève d’un processus « Recrutement », qui peut être automatisé s’il existe un système d’enregistrement, tel que Workday, pour indiquer le moment auquel le nouvel employé commence à travailler. Par la suite, si un employé de votre organisation passe par exemple du service Ventes à Marketing, cette opération relève d’un processus « Transfert ». Ce déplacement nécessite la suppression des droits d’accès associés au service Ventes dont il n’a plus besoin et l’octroi de droits dans le service Marketing qu’il nécessite à présent.

Gestion du cycle de vie des identités pour les invités

Des processus similaires sont également nécessaires pour les identités supplémentaires, pour les partenaires, les fournisseurs et d’autres invités, pour leur permettre de collaborer ou d’avoir accès aux ressources. La gestion des droits d’utilisation Microsoft Entra utilise un ID externe Microsoft Entra B2B (Business-to-Business) pour fournir les contrôles de cycle de vie nécessaires à la collaboration avec des personnes extérieures à votre organisation qui requièrent l’accès aux ressources de votre organisation. Avec Microsoft Entra B2B, les utilisateurs externes s'authentifient auprès de leur répertoire personnel ou de leur fournisseur d’identité, mais disposent d'une représentation dans votre répertoire. La représentation dans l’annuaire de votre organisation permet à l’utilisateur d’avoir accès à vos ressources. La gestion des droits d’utilisation permet à des personnes extérieures à votre organisation de demander l’accès, en créant une identité numérique pour celles-ci en fonction des besoins. Ces identités numériques sont automatiquement supprimées lorsque l’utilisateur perd l’accès.

Comment est-ce que Microsoft Entra ID automatise la gestion du cycle de vie des identités ?

Dans Gouvernance des ID Microsoft Entra, vous pouvez automatiser le cycle de vie des identités en utilisant :

  • L’approvisionnement entrant des sources RH de votre organisation, qui récupère des informations sur les employés à partir de Workday et SuccessFactors, pour gérer automatiquement les identités de utilisateur dans Active Directory et Microsoft Entra ID.
  • Les utilisateurs déjà présents dans Active Directory peuvent être automatiquement créés et gérés dans Microsoft Entra ID avec l’approvisionnement inter-répertoires.
  • Les workflows de cycle de vie pour automatiser les tâches de flux de travail qui s’exécutent à certains événements clés, par exemple avant qu’un nouvel employé ne démarre son travail au sein de l’organisation, à mesure qu’il change de statut pendant qu’il travaille au sein de l’organisation et lorsqu’il quitte l’organisation. Par exemple, un flux de travail peut être configuré pour envoyer un e-mail contenant un passe d’accès temporaire au manager d’un nouvel utilisateur, ou un e-mail de bienvenue à l’utilisateur durant son premier jour.
  • Stratégies d’attribution automatique dans la gestion des droits d’utilisation pour ajouter et supprimer des appartenances de groupe, des rôles d’application et des rôles de site SharePoint d’un utilisateur, en fonction des modifications apportées aux attributs de l’utilisateur. Les utilisateurs peuvent également être affectés à des groupes, Teams, des rôles Microsoft Entra, des rôles de ressources Azure et des sites SharePoint Online en utilisant la gestion des droits d’utilisation et Privileged Identity Management.
  • Une fois que les utilisateurs se trouvent dans Microsoft Entra ID avec les appartenances de groupe et les attributions de rôles d’application appropriées, l’approvisionnement d’utilisateurs peut créer, mettre à jour et supprimer des comptes d’utilisateur dans d’autres applications, avec des connecteurs à des centaines d’applications cloud et locales via SCIM, LDAP et SQL.
  • Pour le cycle de vie invité, vous pouvez spécifier dans la gestion des droits d’utilisation les autres organisations dont les utilisateurs sont autorisés à demander l’accès aux ressources de votre organisation. Quand une de ces demandes d’utilisateurs est approuvée, elle est automatiquement ajoutée par la gestion des droits d’utilisation en tant qu’invité B2B à l’annuaire de votre organisation et un accès approprié lui est attribué. Et la gestion des droits d’utilisation supprime automatiquement l’utilisateur invité B2B de l’annuaire de votre organisation quand ses droits d’accès expirent ou sont révoqués.
  • Les révisions d’accès automatisent les révisions périodiques des invités existants déjà dans l’annuaire de votre organisation et suppriment ces utilisateurs de l’annuaire de votre organisation quand ils n’ont plus besoin d’y accéder.

Conditions de licence :

L’utilisation de cette fonctionnalité requiert des licences Microsoft Entra ID Governance. Pour trouver la licence adaptée à vos besoins, consultez Notions de base sur les licences Gouvernances des ID Microsoft Entra.

Étapes suivantes