The First European Consulting Organization 100% Dedicated to SaaS and Cloud Computing

Louis Nauges

Subscribe to Louis Nauges: eMailAlertsEmail Alerts
Get Louis Nauges: homepageHomepage mobileMobile rssRSS facebookFacebook twitterTwitter linkedinLinkedIn


Blog Feed Post

Assassiner Active Directory ? Une priorité pour les DSI courageux !

 

Assassiner Active DirectoryAssassiner : meurtre commis avec préméditation.

Active Directory (AD) est probablement le logiciel d’infrastructure de Microsoft le plus présent dans les entreprises, et en particulier les plus grandes. Cet annuaire est en situation de «quasi-monopole» dans les infrastructures des grandes entreprises.

De récentes missions de conseil ayant pour objectif la modernisation d’un Système d’Information m’ont fait prendre conscience qu’Active Directory est devenu l’un des plus grands freins à toute tentative d’innovation et d’ouverture vers des solutions Cloud Public.

Il faut que cela cesse, et vite !

 

Active Directory en quelques mots

(Pour les non-spécialistes d’AD).

Logo Active DirectoryDisponible depuis une petite vingtaine d’années, Active Directory est un logiciel de Microsoft qui gère en priorité les composants d’infrastructures, les logiciels et les clients internes d’une entreprise. Il fonctionne sous les différentes versions de Windows Server. AD était au départ conçu pour prendre en compte des composants Microsoft ; il existe aujourd’hui des briques externes permettant d’ajouter à AD des objets non Microsoft comme les produits Apple.

  

Pourquoi assassiner AD

AD - Absolute DisasterAD fonctionne, oui. Au prix de dépenses majeures, d’équipes importantes, les grandes entreprises ont réussi à faire qu’AD donne des réponses acceptables à des besoins universels d’annuaire des ressources informatiques dans l’entreprise.

La complexité de mise en œuvre d’AD est exceptionnelle, surtout dans des les environnements distribués des grandes entreprises. Il faut entendre les professionnels AD parler de «forêts», de cohérence des données et de la difficulté des mises à jour pour prendre conscience de ces difficultés.

C’est devenu en pratique un AD, Absolute Disaster !

AdS DPC Ruine vestige S 90144250AD est un vestige de l’informatique du siècle dernier, l’une des dernières briques importantes d’infrastructures propriétaires, quand les solutions Open Source s’imposent de plus en plus.

Le bilan d’AD est catastrophique :

  • Valeur : réponds à minima aux attentes des entreprises en matière d’annuaire.
  • Coût : prohibitif, en logiciels et surtout en ressources humaines nécessaires pour le faire fonctionner.
  • Complexité : Elle fait la fortune des professionnels AD, qui sont chargés de le maintenir.

AdS DPC Impossible possible S 105459987Posez la question : «Et si l’on éliminait AD ?» Vous aurez immédiatement la réponse : «c’est impossible».

Une fois de plus, la principale difficulté viendra de la résistance au changement des acteurs qui ont intérêt à maintenir le status quo :

  • Microsoft, bien sûr, qui contrôle avec AD un élément clef des infrastructures informatiques.
  • Les milliers de professionnels qui ont acquis, après de durs efforts, une compétence AD et n’ont aucune envie de voir disparaître la valeur de leur expertise.
  • Des DSI qui sont toujours réticents, et je les comprends, à abandonner une solution qui «fonctionne».


Une fausse bonne idée : porter AD dans le Cloud

Il ne servirait à rien de se plaindre d’AD s’il n’y avait pas, aujourd’hui, des solutions plus performantes pour remplacer cette antiquité.

Azure AD logoLe nouveau CEO de Microsoft a bien compris que les solutions Cloud s’imposent de plus en plus ; il a fait d’Azure l’une de ses priorités.

Microsoft propose de porter AD dans le Cloud, sur Azure avec la solution Azure Active Directory.

AWS, Amazon Web services permet aussi d’héberger AD dans le Cloud.

Blanche neige - Pomme AD AzureLe message est tentant : vous profitez des avantages du Cloud, tout en gardant la même solution, et en protégeant vos compétences existantes. Cela me fait penser à la pomme empoisonnée proposée par la sorcière à Blanche Neige !

C’est une fausse bonne idée : elle redonnerait de l’oxygène à AD alors qu’il faut… l’asphyxier.

 

Quelles solutions pour se substituer à AD

Poser la question du remplacement d’AD, c’est poser la mauvaise question.

Dans une logique de «reengineering», il faut en profiter pour se poser les bonnes questions sur ce que l’on cherche à faire, sur les services que l’on veut rendre aux clients internes de l’entreprise.

Gartner IDaaS

Dans une conférence récente, en mars 2016, le Gartner Group parle d’IDaaS, Identity and Access Management. Cette expression résume assez bien les services que l’on doit fournir «as a Service» :

IDaaS trefle

  • Identité. Cette fonction «annuaire» devra couvrir les domaines suivants :
    • Annuaire des personnes, avec toutes leurs caractéristiques personnelles.
    • Annuaire technique : les objets connectés au SI.
    • Annuaire fonctionnel : qui fait quoi, les liens hiérarchiques, la localisation géographique et organisationnelle...
  • Gestion des accès, des autorisations.
    • SSO : Single Sign On, la capacité d’avoir un mot de passe unique, quelles que soient les applications utilisées
    • MFA : Multifacteurs Authentifcation : rajouter, au mot de passe, d’autres moyens d’authentification, tels que SMS, token ou biométrie.
    • Annuaire des applications auxquelles une personne peut accéder.

AdS DPC Trust gauge 100 % S 92864109On retrouve là une grande partie des fonctions que j’ai regroupées sous le nom de TaaS, Trust as a Service, la capacité pour une entreprise de construire une plateforme de confiance. 

L’IDaaS doit aussi être accessible :

  • A tout instant, 24h/24.
  • En tout lieu, bureau, domicile, hôtel,
  • Sur tout objet d’accès, PC, Macintosh, smartphone ou tablette.

Cette démarche d’innovation dans un domaine clef des infrastructures doit prendre en compte la migration rapide des SI vers le Cloud public, les usages SaaS et les développements PaaS.

  

Quels fournisseurs ?

AdS DPC Identity management S 96812273Gérer l’identité et l’annuaire «as a Service» ? Ceci doit se réaliser avec des solutions dans un cloud public.

Commençons par les décisions «faciles», la sélection des solutions à rejeter :

  • Toute solution qui demande l’installation d’un serveur, d’une «appliance» est définitivement interdite.
  • Toute solution qui fonctionne à l’abri d’un firewall traditionnel est éliminée.

Il existe de remarquables solutions Cloud, telles que Okta, OneLogin ou Ping Identity qui proposent des solutions de SSO mais elles s’appuient le plus souvent sur l’existant AD et ne cherchent pas à le remplacer. 

Restent donc les grands acteurs du Cloud qui ont l’expérience de la gestion de centaines de millions d’identités et qui commencent à proposer leurs compétences aux entreprises.

Facebook et Google font partie des candidats les plus logiques.

Logo Facebook at Work- Facebook. Depuis un peu plus de 12 mois, Facebook déploie, dans un petit nombre d’entreprises sélectionnées, sa solution «Facebook at Work».

De grandes entreprises comme RBS, Royal Bank of Scotland et Heineken font partie des sites pilotes.

Les premiers retours sont positifs, même si les entreprises doivent lutter contre l’image «fun» de la solution !

Facebook at work devient nativement l’annuaire des collaborateurs de l’entreprise. Il devrait être raisonnablement aisé d’y greffer les autres dimensions annuaires nécessaires.

Google. Avec Google Identity & Access management (GIAM), Google a aujourd’hui une très bonne solution d’annuaire, opérationnelle, utilisée par de très grandes entreprises.

Google IAM functionsIl est important de comprendre que Google IAM peut être mis en œuvre par une entreprise, indépendamment du fait qu’elle est déployée la solution bureautique Google Apps ou non.

Comme toujours, les solutions grand public adaptées aux environnements professionnels sont meilleures, plus performantes et moins chères que les solutions purement entreprises :

  • Gérer 100 000 personnes : une broutille quand on gère plus d’un milliard d’abonnés comme Google ou Facebook.
  • Coûts très bas.
  • Administration et gestion plus faciles.

 

Synthèse

AdS DPC Chauve souris peur S 6795024Proposer à une entreprise de confier la gestion de l’annuaire de ses collaborateurs à Facebook et Google, c’est faire immédiatement ressortir les «vieilles» objections sur la confidentialité des données et les risques d’utilisation de ces données à des fins commerciales.

Il existe deux familles d’entreprises :

- Celles, raisonnablement innovantes, qui se posent la question de la gestion moderne de leur annuaire et acceptent d’envisager des solutions Cloud. Elles ont toutes déjà l’expérience de solutions SaaS ou IaaS et ont dépassé ces peurs ancestrales.

- Les entreprises très traditionnelles : cet argument sur la «peur» leur servira d’alibi et elles continueront à utiliser l’antiquité Active Directory.

Une fois de plus, la différence se fera entre les entreprises, les DSI courageux, qui osent se poser des questions difficiles et envisager des solutions innovantes et les autres, encore majoritaires, qui resteront scotchées sur leurs solutions fin de vie.

 

 

Read the original blog entry...

More Stories By Louis Nauges

Louis Naugès is Founder & President of Revevol, the first European Consulting organization 100% dedicated to SaaS and Cloud Computing. He has 30 years of IT experience. Very few people in Europe have his knowledge and expertise in Cloud & SaaS technologies and applications. He works directly with CIOs of very large organizations. Revevol is the first EMEA distributor of Google Apps and the largest worldwide organization deploying Google Apps is one of Revevol's clients.