La gestion de l'authentification et des acc�s (g�n�ralement appel�e IAM, Identity and Access Management) consiste � accorder aux bonnes personnes l'acc�s aux bonnes ressources pour les bonnes raisons. Cette s�rie explore IAM et les personnes qui y sont soumises, y compris les suivantes�:
- Identit�s d'entreprise�: identit�s que vous g�rez pour les employ�s de votre organisation. Ceux-ci utilisent ces identit�s pour se connecter � leur poste de travail, acc�der � leurs e-mails ou utiliser des applications d'entreprise. Les identit�s d'entreprise peuvent �galement inclure des personnes autres que les employ�s, tels que des sous-traitants ou des partenaires ayant besoin d'acc�der aux ressources de l'entreprise.
- Identit�s client�: identit�s que vous g�rez pour permettre aux utilisateurs d'interagir avec votre site�Web ou avec vos applications destin�es aux clients.
- Identit�s d'application�: identit�s que vous g�rez pour permettre aux applications d'interagir avec d'autres applications ou avec la plate-forme sous-jacente.
Vous devrez peut-�tre accorder l'acc�s aux ressources suivantes�:
- Services Google tels que Google�Cloud, Google�Analytics ou Google�Workspace
- Ressources dans Google�Cloud, telles que des projets, des buckets Cloud�Storage ou des machines virtuelles (VM)
- Applications ou ressources personnalis�es g�r�es par ces applications
Les guides de cette s�rie d�composent les consid�rations sur IAM en plusieurs parties�:
- La gestion des identit�s d'entreprise, client et d'application constitue la base d'IAM. Ces sujets sont repr�sent�s par les cases�4,�5 et�6 (en vert).
- Les cases�2 et�3 (en bleu) repr�sentent les sujets concernant la gestion des acc�s. Elles s'appuient sur la gestion des identit�s. Ces sujets incluent la gestion des acc�s aux services Google, aux ressources Google�Cloud, ainsi qu'� vos charges de travail et applications personnalis�es.
- La case�1 (en jaune) repr�sente les sujets concernant la gestion des acc�s qui n'entrent pas dans le cadre de ces guides. Pour en savoir plus sur la gestion des acc�s pour Google�Workspace, Google Marketing�Platform et d'autres services, consultez la documentation du produit.
Gestion des identit�s
La gestion des identit�s se concentre sur les processus suivants�:
- Provisionner, g�rer et migrer les identit�s, les utilisateurs et les groupes, et annuler leur provisionnement
- Activer l'authentification s�curis�e pour les services Google et vos charges de travail personnalis�es
Les processus et les technologies diff�rent selon que vous g�rez des identit�s d'entreprise, des identit�s d'application ou des identit�s client.
G�rer les identit�s d'entreprise
Les identit�s d'entreprise sont les identit�s que vous g�rez pour les employ�s de votre organisation. Ceux-ci utilisent ces identit�s pour se connecter � leur poste de travail, acc�der � leurs e-mails ou utiliser des applications d'entreprise.
Dans le contexte de la gestion des identit�s d'entreprise, les conditions suivantes sont g�n�ralement requises�:
- Maintenir un emplacement unique pour g�rer les identit�s au sein de votre organisation
- Permettre aux employ�s d'utiliser une identit� unique et une authentification unique pour plusieurs applications dans un environnement informatique hybride
- Appliquer des strat�gies telles que l'authentification multifacteur ou la complexit� des mots de passe pour tous les employ�s
- R�pondre aux crit�res de conformit� pouvant s'appliquer � votre entreprise
Google�Workspace et Cloud�Identity sont des produits Google qui vous permettent de r�pondre � ces exigences et de g�rer les identit�s et les strat�gies de mani�re centralis�e.
Si vous utilisez les services Google dans un contexte hybride ou multicloud, vous devrez peut-�tre int�grer les fonctionnalit�s IAM de Google � des solutions de gestion des identit�s externes ou � des fournisseurs d'identit� tels qu'Active�Directory. Le document Architectures de r�f�rence explique comment Google�Workspace ou Cloud�Identity vous permettent de r�aliser une telle int�gration.
Certains de vos employ�s peuvent utiliser des comptes Gmail ou d'autres comptes utilisateur personnels pour acc�der aux ressources de l'entreprise. Or, l'utilisation de ce type de comptes utilisateur peut ne pas �tre conforme � vos strat�gies ou exigences individuelles. Vous pouvez donc migrer ces utilisateurs vers Google�Workspace ou Cloud�Identity. Pour en savoir plus, consultez les pages �valuer les comptes utilisateur existants et �valuer les plans d'int�gration.
Pour vous aider � adopter Google�Workspace ou Cloud�Identity, consultez nos guides sur l'�valuation et la planification afin d'obtenir des conseils sur la mani�re d'acc�der � vos exigences et de concevoir le processus d'adoption.
G�rer les identit�s d'application
Les identit�s d'application sont les identit�s que vous g�rez afin de permettre aux applications d'interagir avec d'autres applications ou avec la plate-forme sous-jacente.
Dans le contexte de la gestion des identit�s d'application, les conditions suivantes sont g�n�ralement requises�:
- Int�grer des solutions d'authentification et des API tierces
- Activer l'authentification dans plusieurs environnements dans un sc�nario hybride ou multicloud
- Pr�venir la fuite des identifiants
Google�Cloud vous permet de g�rer les identit�s d'application et de r�pondre � ces exigences � l'aide de comptes de service Google�Cloud et de comptes de service Kubernetes. Pour en savoir plus sur les comptes de service et les bonnes pratiques d'utilisation de ceux-ci, consultez la page Comprendre les comptes de service.
G�rer les identit�s client
Les identit�s client sont les identit�s que vous g�rez pour permettre aux utilisateurs d'interagir avec votre site�Web ou avec vos applications destin�es aux clients. La gestion des identit�s client et de leur acc�s est �galement appel�e gestion de l'authentification et des acc�s client (CIAM, Customer Identity and Access Management).
Dans le contexte de la gestion des identit�s client, les conditions suivantes sont g�n�ralement requises�:
- Laisser les clients cr�er un compte, mais se pr�munir contre les abus, ce qui peut impliquer la d�tection et le blocage de la cr�ation de comptes de bots
- Accepter la connexion aux r�seaux sociaux et int�grer des fournisseurs d'identit� tiers
- Accepter l'authentification multifacteur et appliquer certaines exigences de complexit� des mots de passe
Identity�Platform de Google vous permet de g�rer les identit�s client et de r�pondre � ces exigences. Pour en savoir plus sur l'ensemble de ses fonctionnalit�s et sur l'int�gration d'Identity�Platform avec vos applications personnalis�es, consultez la documentation Identity�Platform.
Gestion des acc�s
La gestion des acc�s se concentre sur les processus suivants�:
- Accorder ou r�voquer l'acc�s des identit�s � des ressources sp�cifiques
- G�rer les r�les et les autorisations
- D�l�guer des fonctionnalit�s d'administration � des personnes de confiance
- Appliquer le contr�le des acc�s
- Auditer les acc�s effectu�s par des identit�s
Gérer l'accès aux services Google.
Votre organisation peut s'appuyer sur une combinaison de services Google. Par exemple, vous pouvez utiliser Google Workspace pour collaborer, Google Cloud pour déployer des charges de travail personnalisées et Google Analytics pour mesurer les métriques de réussite publicitaire.
Google Workspace ou Cloud Identity vous permettent de contrôler de manière centralisée les identités d'entreprise qui peuvent utiliser les différents services Google. En limitant l'accès à certains services, vous définissez un niveau de contrôle des accès de base. Vous pouvez ensuite configurer un contrôle des accès plus précis à l'aide des fonctionnalités de gestion des accès de chaque service.
Pour plus d'informations, lisez l'article expliquant comment contrôler qui peut accéder à Google Workspace et aux services Google.
Gérer l'accès à Google Cloud
Dans Google Cloud, vous pouvez utiliser IAM pour définir de manière plus précise l'accès des identités d'entreprise à des ressources spécifiques. En utilisant IAM, vous pouvez mettre en œuvre le principe de sécurité du moindre privilège, selon lequel vous n'accordez à ces identités que les autorisations d'accès aux ressources que vous spécifiez.
Pour en savoir plus, consultez la documentation IAM.
Gérer l'accès à vos charges de travail et applications
Vos charges de travail et applications personnalisées peuvent varier en fonction de l'audience à laquelle elles sont destinées :
- Certaines charges de travail peuvent s'adresser aux utilisateurs de l'entreprise, comme les systèmes de gestion de contenu, les tableaux de bord ou les applications métier.
- D'autres applications peuvent s'adresser à vos clients, comme votre site Web, un portail en libre-service ou les backends d'applications mobiles.
La meilleure façon de gérer et d'auditer les accès et d'appliquer le contrôle des accès dépend de l'audience et de la manière dont vous déployez l'application.
Pour en savoir plus sur la protection des applications et des autres charges de travail destinées aux utilisateurs d'entreprise, consultez la documentation IAP.
Vous pouvez également Intégrer directement Se connecter avec Google ou utiliser des protocoles standards tels que OAuth 2.0 ou OpenID�Connect.
Pour savoir comment appliquer l'acc�s aux API, consultez la documentation Istio et Cloud�Endpoints. Vous pouvez utiliser les deux�produits, que vos applications s'adressent aux utilisateurs de l'entreprise ou aux utilisateurs finaux.
�tapes suivantes
- D�couvrez les concepts et les fonctionnalit�s de la gestion des identit�s en consultant la section Concepts.
- D�couvrez les conseils normatifs � prendre en compte dans votre architecture ou votre conception en consultant la section Bonnes pratiques.
- D�couvrez comment �valuer vos besoins et identifier une conception adapt�e en consultant la section �valuer et planifier.