Le dernier Magic Quadrant de la gestion des accès confirme la convergence avec l’IAM. Comment le périmètre fonctionnel global se propage-t-il ?
Avec ou sans option « détection et réponse » ? Dans le domaine des solutions de gestion des accès, la situation est contrastée. Parmi les neuf fournisseurs classés dans le dernier Magic Quadrant dédié à ce segment de marché, quatre ont effectivement intégré cette composante destinée à atténuer les menaces contre les identités. Pour le moment, les fonctionnalités ajoutées touchent surtout à la détection.
Ils sont plus nombreux (6 sur 9) à avoir intégré une forme d’orchestration des. Deux d’entre eux – ForgeRock et Ping Identity – proposent un concepteur graphique de flux.
Même proportion pour ce qui est de l’intégration de fonctionnalités IAM. Cela va de l’IGA (administration et gouvernance des identités) au PAM (gestion des accès à privilèges) en passant par la détection de fraude.
La prise en charge des identités décentralisées est effective chez tous les fournisseurs. Elle est native chez trois d’entre eux : IBM, Microsoft et Ping Identity.
Orchestration et identités machine laissées hors du cœur fonctionnel
Figurer au Quadrant impliquait de respecter des critères fonctionnels portant sur dix points. Nommément :
– Services d’annuaire
Au minimum un service pris en charge, synchronisant autant les identités internes (employés, outsourceurs, intérimaires…) qu’externes (clients, fournisseurs, freelances…). Avec, pour ces derniers, le support du protocole SCIM.
– Administration des accès internes
Gestion basique du cycle de vie : synchronisation AD et SCIM, gestion des mots de passe et des profils, galerie d’applications pour le SSO…
– Administration des accès externes
Enregistrement d’utilisateurs, gestion des permissions, délégation d’administration, gestion du consentement et prise en charge, au minimum, des logins de réseaux sociaux
– Outils pour développeurs
Prise en charge d’OpenID Connect, OAuth 2.0 et SCIM.
– Autorisations et accès adaptatifs
Capacité à créer des politiques d’autorisation et à les appliquer à renforcer de données contextuelles.
– SSO et gestion des sessions
Prise en charge des jetons ou cookies à durée limitée. Disponibilité d’au moins un paramètre global pour la gestion des sessions.
– Authentification des utilisateurs
Prise en charge de SAML et d’OpenID Connect. Brique MFA au moins par SMS, codes OTP, pousse mobiles et jetons matériel ou logiciel. Support d’au moins deux des cinq méthodes suivantes : certificats X.509, jetons FIDO, biométrie, authentification sans mot de passe, authentification continue.
– Contrôle de l’accès aux API
Serveur d’autorisation OAuth 2.0 avec gestion du consentement et émission de jets web JSON autonomes.
– Analytique / rapports
Au minimum, historique des événements d’administration et d’accès, avec une API pour l’exportation
La gestion des identités machine n’était pas un critère obligatoire. Même choisi pour le profilage progressif, l’orchestration et les concepteurs faible code / pas de code.
AWS, Google Cloud et Alibaba Cloud en embuscade
Fait rare au Magic Quadrant : il y a moins de fournisseurs classés que de fournisseurs ayant reçu d’une « mention honorable ». Parmi ces derniers, certains ne portent que les identités externes : Akamai, SAP et Transmit Security. D’autres ne respectent tout simplement pas l’ensemble des critères fonctionnels ou des critères business*. AWS, Google et Alibaba Cloud en sont.
Gartner n’a pas inclus, dans son périmètre d’étude, les solutions de gestion des accès centrées sur le PAM. Il n’a pas non plus tenu compte des produits évoluant sur des segments adjacents : IGA, gestion des API, protection des terminaux, CASB…
* Il devait avoir soit dégagé 50 M$ de revenus (maintenance incluse) sur l’exercice fiscal 2021, soit disposer, au 6 juin 2022 (date de clôture de l’analyse Gartner), d’au moins 950 clients payants exclusifs.
Photo d’illustration © Ruslan Gramble – Shutterstock
