IBM est à l'informatique d'entreprise ce que la NASA est aux voyages dans l'espace: essentiellement synonyme de décennies, pas d'années.
Bien que l'on puisse affirmer qu'IBM joue derrière Amazon, Microsoft et Google dans la guerre du cloud, ils sont toujours un concurrent légitime pour les logiciels d'entreprise, quelle que soit la plate-forme.
En tant que tel, il n'est pas surprenant qu'IBM Cloud Identity ne se contente pas de traiter la catégorie de produits de gestion des identités (IDM), IBM apporte une variété d'outils et de fonctionnalités matures dans un package qui se compare favorablement à tous les concurrents IDM que nous avons examinés, et il le fait sans se ruiner.
Plus précisément, la tarification Cloud Identity d'IBM commence à 2,50 USD par utilisateur et par mois, le support MFA vous rapportant 2,50 USD supplémentaires par utilisateur chaque mois - même combinés, c'est un bon rapport qualité-prix.
Les flux de travail d'approvisionnement, de libre-service utilisateur et de demande d'accès sont facturés 4 USD supplémentaires par mois.
Mais IBM adoucit encore davantage l'accord en incluant Cloud Identity pour les utilisateurs de Maas360, qui est la solution de gestion des appareils mobiles (MDM) de Big Blue.
Cela commence à 4 $ par mois par appareil ou 8 $ par mois par utilisateur.
Identités et répertoires
Il n'est pas surprenant qu'IBM prenne en charge diverses méthodes pour importer des identités à partir d'annuaires d'entreprise existants.
Il existe une prise en charge à la fois d'un outil d'intégration d'annuaire léger (IBM Verify Bridge for Directory Sync) et d'IBM Security Access Manager basé sur l'appliance, qui est la solution IDM sur site d'IBM (pour laquelle la licence est incluse dans IBM Cloud Identity) .
La solution qui convient le mieux à votre entreprise dépend en grande partie du niveau de sophistication requis, tel que le nombre d'annuaires dont vous avez besoin pour incorporer les identités et le degré de contrôle requis sur ces attributs.
Une plainte que j'ai est qu'IBM n'offre pas une solution d'intégration d'annuaire qui soit vraiment conviviale et intuitive.
La plupart des solutions IDM de mes tests (et certainement tous les principaux concurrents) offrent une solution basée sur des agents qu'un administrateur à temps partiel avec des qualifications techniques minimales pourrait faire fonctionner en moins d'une heure.
IBM Verify Bridge est sur le point d'être cet outil, mais après l'installation, un utilisateur ne dispose même pas d'un raccourci dans le menu Démarrer, et encore moins d'un assistant de configuration.
Le processus de configuration est plutôt géré à l'aide d'un fichier JSON (JavaScript Object Notation) situé dans le répertoire d'installation de l'outil.
C'est bien pour les développeurs ou les administrateurs chevronnés (ce qui correspond au client cible d'IBM), mais c'est beaucoup à demander aux utilisateurs moins techniques.
Les capacités d'IBM en matière de gestion de la circulation des attributs entre les répertoires ne sont pas tout à fait au niveau du gagnant du Choix des éditeurs, Okta, qui offre un contrôle scripté complet sur les attributs, mais vous pouvez effectuer une transformation de base telle que la modification de la casse (forcer à la majuscule ou à la baisse), ou ajouter une chaîne au début, ou encoder ou décoder la valeur.
Les attributs peuvent également être mappés entre différentes sources d'identité, ce qui permet de contrôler la façon dont l'attribut firstName de votre annuaire LDAP se rapporte à l'attribut first_name d'un fournisseur d'identité cloud.
Applications et authentification
Comme la plupart de ses concurrents IDM, IBM Cloud Identity prend en charge l'authentification unique (SSO) dans les applications Web à l'aide de SAML et OAuth 2.0, et fournit un catalogue d'applications pour faciliter l'activation et la configuration de l'authentification dans ces applications Web.
Comme pour toute suite IDM, ce catalogue d'applications dépend en grande partie de l'application tierce, y compris la prise en charge d'un protocole d'authentification forte, et est constamment mis à jour à mesure que les applications mûrissent ou même changent de mains.
Une application typique nécessitera une configuration aux deux extrémités (Cloud Identity et l'application Web) afin d'activer l'authentification SSO, et inclura généralement la configuration de diverses URL, certificats et attributs requis pour le processus d'authentification.
Une fois qu'une application a été configurée pour l'authentification, l'étape suivante consiste à gérer les droits ou les utilisateurs qui ont accès à l'application.
IBM Cloud Identity propose quelques options dans ce domaine.
L'accès aux applications utilisées dans toute l'entreprise peut être fourni rapidement et facilement à tous les utilisateurs et groupes à l'aide d'une seule case à cocher.
La plupart des applications nécessiteront un contrôle d'accès et / ou une gestion des licences plus précis, qui peuvent être gérés par un administrateur attribuant manuellement l'accès à des utilisateurs individuels ou à des groupes.
Les approbations des applications peuvent également être activées pour permettre aux utilisateurs de demander l'accès à l'application via leur portail SSO et de faire passer les demandes d'approbation par le propriétaire de l'application, le responsable de l'utilisateur ou les deux (les notifications de demande d'approbation sont envoyées à la fois à l'e-mail de l'approbateur et à la notification IBM Cloud Identity) .
La vraie puissance d'un IDM vient lorsque vous tirez parti des politiques d'authentification.
Les politiques d'authentification dans leur plus élémentaire sont basées sur des règles, permettant aux administrateurs de définir un ensemble de conditions et d'actions qui, à leur tour, définissent les cercles d'authentification qu'un utilisateur doit parcourir pour accéder à une application en fonction d'éléments tels que son appartenance à un groupe, géolocalisation ou état d'enregistrement de l'appareil.
Les politiques d'authentification qui ont activé l'accès adaptatif ont la possibilité d'appliquer des actions basées sur un niveau de risque, qui est un score basé sur l'apprentissage automatique (ML) calculé à l'aide de la quantité massive de données d'authentification dont IBM dispose.
Les politiques d'authentification qui tirent parti de l'apprentissage automatique sont de plus en plus populaires dans les suites IDM et sont proposées par plusieurs des principaux concurrents de la catégorie, notamment les gagnants du Choix des éditeurs, Azure AD de Microsoft, Okta ainsi que des nouveaux venus, comme Idaptive.
La principale mise en garde pour l'apprentissage automatique de tout type est que l'analyse n'est aussi bonne que les données disponibles à analyser.
L'empreinte d'IBM en fait une option légitime dans ce domaine, car ils disposent d'un large éventail de services à partir desquels ils peuvent agréger les données d'authentification.
Les stratégies d'authentification sont un outil majeur pour améliorer votre posture de sécurité, mais elles offrent des avantages limités sans intégrer l'authentification multifacteur (MFA).
IBM Cloud Identity (avec le module complémentaire Verify) prend en charge un certain nombre de facteurs MFA, notamment les mots de passe à usage unique envoyés par e-mail ou SMS, les mots de passe à usage unique basés sur l'heure à l'aide d'une application d'authentification et l'application mobile IBM Verify.
L'application IBM Verify vaut la peine d'être appelée, car elle peut en outre exiger d'un utilisateur qu'il confirme son identité à l'aide de capteurs basés sur le périphérique pour confirmer les informations biométriques telles que le visage ou l'empreinte digitale de l'utilisateur.
L'application mobile Verify fournit également des détails sur la demande d'authentification confirmée, aidant l'utilisateur à confirmer la légitimité de la demande d'authentification.
Holistique et prêt pour l'entreprise
Cloud Identity possède toutes les fonctionnalités que nous attendons d'une solution IBM, y compris l'intégration avec son MDM, qui est un point clé pour de nombreux clients, car la combinaison d'IDM et de MDM est nécessaire pour créer une plate-forme de sécurité mobile efficace.
Le MaaS360 d'IBM s'intègre étroitement à IBM Cloud Identity (en fait, ils peuvent être regroupés, comme mentionné précédemment).
Cependant, malheureusement, IBM Cloud Identity ne peut actuellement pas s'intégrer aux suites MDM tierces telles que AirWatch, MobileIron ou Microsoft Intune de VMware, bien qu'IBM déclare que cette fonctionnalité sera disponible dans un proche avenir.
IBM propose des outils pour aider à prendre en charge l'authentification IDM pour les applications sur site à l'aide d'Application Gateway (qui présente l'avantage supplémentaire de gérer l'authentification avant que les demandes des utilisateurs n'atteignent votre application ou même votre pare-feu d'entreprise et peut être déployée dans un environnement sur site ou dans le cloud.
environnement de conteneur).
Dans l'ensemble, bien que ce ne soit certainement pas la solution la plus simple que nous ayons testée dans l'espace de gestion des identités, elle coche toutes les cases que les entreprises recherchent et parvient à le faire à un prix très attractif.
Spécifications IBM Cloud Identity
| Portail SSO personnalisable par l'utilisateur | Oui |
| Libre-service utilisateur | Oui |
| Stratégies SSO multiples | Oui |
| Synchronisation du mot de passe | Oui |
| Approvisionnement SaaS | Oui |
| Connecteur d'annuaire | Oui |
| Intégration de plusieurs répertoires | Oui |
| Authentification aux applications sur site | Oui |
| Fournisseurs multifactoriels tiers | Oui |
| Intégration MDM tierce | Non |
| Bibliothèque de rapports | Oui |
