Kiloutou fédère ses identités avec Avencis

La réflexion était déjà lancée lorsque Kiloutou a décidé de s’engager dans le déploiement d’une solution de fédération d’identités, en profitant notamment de l’arrivée à maturité de SAML 2.0. Mais c’est un projet de changement d’annuaire, avec remise à plat de l’authentification, combiné à l’adoption d’applications SaaS qui a été le déclencheur, fin 2015, expliquait Adrien Vercoutère, architecte SI au sein de l’enseigne, aux Assises de la Sécurité, début octobre dernier, à Monaco.

Le changement d’annuaire a fait germer l’idée de déporter les tâches liées à l’authentification hors des projets applicatifs, pour les confier à une plateforme dédiée. De quoi simplifier les applications tout en assurant la robustesse de la couche d’authentification. Mais à long terme, il s’agit aussi de pouvoir arrêter de synchroniser les identifiants des utilisateurs entre annuaire et applications par lots, avec les délais que cela peut être susceptible d’induire. Sans compter la frustration potentielle de nouvelles recrues ou d’utilisateurs ayant changé de mot de passe et pour lesquels toutes les autorisations n’ont pas été encore propagées.

Après l’étude des possibilités d’intégration SAML pour les logiciels internes, la concrétisation est venue de l’opportunité offerte par l’adoption de l’application SaaS Notilus pour la gestion des notes de frais, et des services de Google pour la messagerie électronique. Aujourd’hui, un logiciel d’e-learning est également couvert, de même qu’une application sur-mesure de gestion des ressources humaines, développées en Java – grâce au projet Spring.

C’est la solution SSOX du Français Avencis qui a été retenue – racheté depuis par Systancia. Pourquoi ? Parce qu’Adrien Vercoutère s’est initialement retrouvé confronté à beaucoup d’incertitude : beaucoup de prestataires se proposaient de mettre en place les services de fédération d’identités d’Active Directory, mais peu s’avéraient capable d’accompagner ses équipes dans l’intégration avec les applications. Et c’est justement cette capacité d’accompagnement qui a joué en la faveur d’Avencis.

Et ce soutien ne s’est pas avéré inutile. Car si certains, comme Google, apparaissent implémenter SAML 2.0 de manière rigoureuse, ce n’est pas le cas pour tous. Parfois, les équipes de Kiloutou ont dû procéder à des personnalisations.

Pour l’heure, la solution SSOX d’Avencis n’est utilisée que pour assurer une authentification simple. Mais Adrien Vercoutère prévoit d’aller plus loin, en ajoutant des mécanismes de complément avec mot de passe à usage unique (OTP). En outre, plus le nombre d’applications connectées à la plateforme de fédération augmente, plus celle-ci devient critique. Et justement, la consigne est de profiter de chaque nouveau projet applicatif pour étendre le périmètre couvert. Dès lors, Adrien Vercoutère prévoit de passer rapidement à une architecture à haute disponibilité.

Mais ce n’est pas tout. Alors que les badges des collaborateurs doivent servir à contrôler les accès aux imprimantes, tant pour des questions de confidentialité que de protection de l’environnement, et qu’un changement de locaux est prévu pour l’automne 2017, la plateforme SSOX pourrait bien être amenée à servir de socle pour une consolidation de la gestion des identités logiques autant que physiques. De quoi rappeler l’approche détaillée par Volkswagen à l’occasion de l’édition 2013 des Assises de la Sécurité.