Au début décembre, j’ai été invité à titre de conférencier à la deuxième édition annuelle de la UP 2011 Cloud Computing Conference. Tandis que de plus en plus d’organisations se tournent vers l’informatique en nuage, l’un des besoins les plus urgents réside dans l’élaboration de normes de gestion des identités et des accès. Lors de ma présentation, j’ai abordé les efforts en cours pour définir ces normes ainsi que les enjeux avec lesquels devront composer les organisations de normalisation.

La gestion des identités et des accès est une composante fondamentale des trois modèles de prestation de services en nuage, c’est-à-dire le logiciel service (« SaaS - Software as a Service »), l’infrastructure service (« IaaS – Infrastructure as a Service ») et la plateforme service (« PaaS – Platform as a Service »). Le client et le fournisseur de services en nuage doivent savoir qui a accès aux services en nuage donnés. De plus, au sein des organisations d’envergure qui ont recours à plusieurs modèles de nuage ainsi qu’à plusieurs services dans chaque modèle, la gestion des identités et des accès peut s’avérer très complexe.

La gestion des identités et des accès en nuage n’en est qu’à ses débuts, mais la définition de nouvelles normes est en cours. Les quatre grandes organisations suivantes travaillent actuellement sur cette initiative importante :

• OASIS : évalue l’application des normes de gestion des identités actuelles au sein du nuage et cerne les lacunes;
• InCommon : coordonne l’élaboration de définitions et de lignes directrices communes en matière de sécurité, de confidentialité et d’échange de données au sein des fournisseurs d’identités et de services en nuage;
• Trusted Cloud Initiative (TCI) : met l’accent sur l’avancement du processus de certification de normes sécuritaires et interopérables relatives aux identités en nuage;
• Jericho Forum : élabore une architecture en nuage qui fait appel à la gestion des identités à tous les niveaux du nuage (infrastructure, plateforme, logiciel et processus) dans le cadre d’un concept appelé « architecture axée sur la collaboration ».

Les principaux enjeux avec lesquels doivent composer les organisations de normalisation pour élaborer de nouvelles normes liées à l’identité en nuage comprennent :

• le déploiement de services en nuage – En ce qui a trait au déploiement et au retrait de services en nuage pour les utilisateurs, SPML, la norme ouverte élaborée par OASIS, n’a pas connu le rayonnement escompté en raison de sa complexité. Ainsi, une nouvelle norme est requise;
• la synchronisation des données relatives à l’identité – Toute nouvelle norme doit fournir des directives sur la synchronisation de données liées à l’identité entre les fournisseurs de services en nuage et les répertoires d’entreprises;
• l’authentification et l’autorisation – L’authentification et l’autorisation constituent des composantes clés de la sécurité des identités dans le nuage. Les normes SAML et OpenID sont largement utilisées de nos jours pour la gestion de ces aspects et devraient être incluses dans les nouvelles normes;
• le contrôle d’accès – Des mesures de contrôle d’accès externalisées et précises doivent être envisagées afin de maximiser la valeur commerciale de l’identité en nuage;
• les mandats réglementaires – Diverses réglementations, notamment HIPAA/HITECH, SOX, FISMA, PCI/DSS et FedRamp, doivent être envisages et appliquées.

En abordant ces enjeux et en travaillant en étroite collaboration, nous sommes persuadés que ces organisations de normalisation seront en mesure d’élaborer des normes claires et exhaustives en matière de gestion des identités en nuage, tout en éliminant la duplication, en optimisant l’interopérabilité et en améliorant la sécurité. L’avenir de la gestion des identités en nuage repose sur leur succès.