Le secret derrière une connectivité sans faille de SailPoint : Explication des virtual appliances
Published on July 31, 2025
Vous vous êtes déjà demandé comment Identity Security Cloud (ISC) communique avec vos applications sur site sans percer de trous dans votre pare-feu ? Voici le Virtual Appliance (VA) – le héros méconnu qui assure discrètement la gouvernance sécurisée des identités en coulisses.
Décomposons cela :
Imaginez que vous dirigez une organisation disposant d’un mélange de systèmes cloud et sur site – Active Directory, serveurs de fichiers, plateformes RH, etc. ISC doit se connecter à ces systèmes pour provisionner les accès, réaliser des certifications ou extraire des données d’identité. Cependant… vos systèmes sur site se trouvent derrière un pare-feu. Vous ne souhaitez pas que le cloud y accède (la sécurité dit : X).
La solution ? C'est vous qui prenez l'initiative.
Le VA est une machine virtuelle basée sur Linux que vous installez dans votre réseau. Il agit comme un agent local qui se connecte à l’ISC, et non l’inverse.
Pensez-y comme suit :
Vous disposez d’un messager sécurisé dans vos locaux (le VA). ISC y laisse des notes chiffrées dans une boîte aux lettres partagée (la Cluster Queue). Le messager (VA) les récupère, lit la tâche – « Mettre à jour l’accès de Bob dans Active Directory » – l’exécute, puis fait un retour.
Tout cela se déroule en toute sécurité, en utilisant uniquement le trafic sortant. Aucun port ouvert, aucune règle de pare-feu étrange. Clair, sûr, efficace.
Exemple concret :
Dès que le service RH clique sur « Terminer » pour Alice dans Workday, ISC agit dès que la mise à jour est agrégée. Il envoie une série de tâches de déprovisionnement vers la file d’attente cloud, sans ouvrir de brèches entrantes dans votre pare-feu.
Ensuite, votre Virtual Appliance sur site :
Désactive sa connexion à Active Directory
Révoque l'accès VPN et Exchange
Verrouille ses schémas de base de données
Désactive les clés API et les comptes de service
Tout cela via une unique connexion TLS sortante, et en moins de 3 minutes, avec chaque étape horodatée et vérifiable.
Multipliez cela par 2 000 départs chaque année sur 15 systèmes critiques, et vous obtenez un processus de départ véritablement automatisé et à toute preuve. Voilà la magie d’ISC + VA.
Quelques conseils tirés de déploiements réels :
Déployez toujours au moins 2 VAs par cluster – l'un peut être mis hors service pour des mises à jour pendant que l'autre continue de fonctionner.
Placez-les près des systèmes avec lesquels ils communiquent. Un VA à côté de votre application RH en cloud en Europe ne sera pas performant pour un serveur de paie sur site aux États-Unis.
Séparez les environnements de test et de production – ainsi vous pourrez détecter les problèmes dès le début lors des mises à jour.
Redémarrer un cluster de VA résout plus de problèmes que vous ne le pensez
Évitez de placer les VA en DMZ. C'est comme garer une voiture de sécurité dans une ruelle suspecte.
En résumé :
Les Virtual Appliances permettent à ISC de se connecter en toute sécurité à votre environnement, d'effectuer les tâches lourdes discrètement et de maintenir le flux de vos données d'identité sans que vous ayez à vous inquiéter des pare-feux, des proxies ou d'un accès administrateur non autorisé.
Si vous avez ISC, vos VAs font bien plus que ce que vous imaginez.
Vous n'êtes pas sûr de l'option de connexion qui vous convient le mieux ?
Choisir entre Standard, HTTP Proxy ou Network Tunnel n'est pas qu'une décision technique, c'est stratégique.
Chez NeverHack, nous avons aidé d'innombrables organisations à optimiser leurs déploiements ISC pour une sécurité et des performances maximales.