Gestion des licences : comment éviter le couteux piège des intégrations SSO

Ce guide a vocation à dénoncer le prix caché que les PME découvrent lorsqu'elle mettent en place une politique de gestion des licences logiciel via des intégrations SSO
Lecture : 6 minutes · Publié le 20 juin 2024

Lorsqu’un employé quitte son entreprise, il rend le matériel qui était mis à sa disposition dans le cadre de son travail.

En est-il de même pour "l'immatériel" ?

C'est-à-dire l'ensemble des accès aux logiciels professionnels. Autant de licences ou d'abonnements à des apps en ligne qu'il est beaucoup moins évident de recenser.

Moins évident car maintenant l'outil de travail est digitalisé. Tous les employés utilisent de nombreuses applications en ligne, chacune avec ses propres accès.

Il y en a de plusieurs sortes :

- Accès via un gestionnaire de mots de passe
- Le Google Sign In
- L'utilisation d'une solution Single Sign On (SSO) dédiée
- Des comptes communs dont les mots de passe sont partagés sur un spreadsheet

La première étape sera d'identifier toutes les apps utilisées au sein de votre entreprise. Mais ce n'est que le début.

Il faudra ensuite cartographier les accès pour les employés qui vous intéressent, et enfin supprimer leurs comptes et/ou leurs accès.

Alors comment s'en sortir à cette étape où vous vous trouvez certainement si vous lisez ce guide ?

Avant d'explorer le vaste monde des logiciels IAM pour Identity Access Management (Gestion des identités clients en bon français), voici 3 informations critiques que nous allons détailler :

1/ Il n'existe pas de plateforme pour supprimer les licences ou accès à d'autres logiciels à moins d'avoir souscrit au plan "premium" ou "enterprise" pour chacun d'entre eux.

2/ Soyez certains que toutes les apps utilisées proposent l'option de "déprovisionnement", c'est à dire de désinscriptions des utilisateurs (SCIM pour les profils techniques). Là aussi, la probabilité est proche de zéro.

3/ Si votre PME ne valide pas ces deux premiers points, chercher à le faire augmentera significativement votre budget logiciel. Pas forcément ce que l'on recherche en gérant précisément les accès aux licences...

On vous donne les explications en détail.

Bonne lecture.

Mais c'est pourtant bien possible techniquement (?)

Oui, c'est d'ailleurs utilisé par toutes les équipes IT des grands groupes. Leurs exigences en matière de sécurité sont élevées. Les logiciels utilisés en interne sont d'ailleurs retenus seulement s'ils proposent le SCIM.

Le SCIM ou en anglais "System for Cross-domain Identity Management" est une méthode standard sécurisée pour permettre une action sur un profil utilisateur depuis un outil tierce.

Il est alors possible de connecter ces logiciels (via API) à une plateforme de SaaS Management et de créer ou de supprimer les utilisateurs en quelques clics.

Une solution évidente pour les grandes entreprises qui gèrent au quotidien de nombreuses arrivées et départ. Les (gros) budgets associés sont alors à la hauteur du temps passé, des enjeux de sécurité et des économies réalisées.

C'est en suivant cette logique que les logiciels réservent cette compatibilité à leurs offres premium. En d'autres termes, une entreprise qui a ce type de requête est prête à payer le prix pour y répondre.

Voilà déjà quelques exemples 👇

Pricing plans comparison for Notion, displaying four tiers: Free, Plus, Business, and Enterprise. The Free plan, costing €0, offers unlimited blocks for individuals and basic features. The Plus plan, priced at €7.50 per user/month, includes everything in Free along with unlimited file uploads and 30-day page history. The Business plan costs €14 per user/month, providing advanced features like SAML SSO, private teamspaces, and advanced security. The Enterprise plan requires contacting sales for pricing and includes all Business features plus user provisioning (SCIM), audit logs, and advanced security & compliance integrations. The image highlights user provisioning (SCIM) in the Enterprise plan.
Comparison table of Asana's project management software features across various plans including Personal, Starter, Advanced, Enterprise, and Enterprise+. The table lists several features such as unlimited tasks, custom onboarding, admin announcements, and SAML. The image highlights "User and group provisioning and deprovisioning (SCIM)" which is available starting from the Enterprise plan. Enterprise and Enterprise+ plans offer the most advanced features, marked with checkboxes.
Comparison of Slack's pricing plans, detailing features for Pro, Business+, and Enterprise Grid tiers. The Pro plan, at €6.75 per person/month billed yearly, offers unlimited message history, apps and integrations, and voice/video calls with up to 50 participants. The Business+ plan, costing €11.75 per person/month billed yearly, includes all Pro features plus 99.99% guaranteed uptime, SAML-based single sign-on, and user provisioning and deprovisioning. The Enterprise Grid plan, with pricing available upon contact, offers comprehensive security and compliance features, enterprise key management add-on, large-scale collaboration for up to 500,000 users, and centralized controls. The image emphasizes the user provisioning and deprovisioning feature available in the Business+ plan.
Calendly pricing plan comparison table detailing various features and their availability across different plans. Features listed include routing form analytics, routing by HubSpot or Salesforce assignments, and SAML single sign-on (SSO). The image highlights "Advanced user provisioning via SCIM," which is only available in the highest tier plan. The table also mentions other features such as domain control and account oversight, activity (audit) log, and monitoring across organization and user levels.
Comparison table of pricing plans for Airtable, detailing features available in Free, Team, Business, and Enterprise Scale tiers. The table includes sections for admin controls and security and compliance. Features listed under admin controls include federated organization with associated domains, Enterprise Hub, organizational units, and SCIM user provisioning. The image highlights "SCIM user provisioning," available in the Business and Enterprise Scale plans. Security and compliance features listed include SAML-based single sign-on (SSO), data loss prevention (DLP), and audit logs, with advanced features such as Enterprise Key Management available as add-ons.
Comparison of monday.com's pricing plans, highlighting features available in Free, Basic, Standard, Pro, and Enterprise tiers. The table focuses on sections for Administration & Control and Enterprise Reporting & Analytics. Features listed under Administration & Control include board administrators, audit log, session management, and SCIM provisioning. The image highlights "SCIM provisioning," which is available only in the Enterprise plan. Enterprise Reporting & Analytics features include work performance insights, dashboard email notifications, and pivot analysis & reports.
DocuSign's pricing plans comparison table, highlighting features available in Personal, Standard, Business Pro, and Enhanced Plans. The comparison includes sections on Team Management and Streamlined Workflows & Documents. Features listed under Team Management include user & group permissions, team reports, shared templates, and document signing. The image highlights "Access management & SSO" and "Organization management," which are only available in the Enhanced Plans and require contacting sales for pricing. The Streamlined Workflows & Documents section lists features like locked templates, form fields, drawing fields, and bulk send capabilities.

Ces offres "Enterprise" ne sont pas destinées aux PME.

La conséquence ? Vous devez gérer la suppression des licences / accès manuellement.

Mais attention...

Attention aux plateformes de SaaS Management qui proposent l'offboarding utilisateur automatique

Humorous meme image showing a person in a flooded basement using a dustpan to try and remove water, with washing machines in the background. The person is wearing a Viking helmet with horns and glasses. The top text reads, "AUTOMATICALLY ON/OFF-BOARD USERS THEY SAID," and the bottom text reads, "WE DIRECTLY INTEGRATE WITH APPS THEY SAID," implying that the promises of easy automation and integration have led to a chaotic and ineffective situation.

Certes, la fonctionnalité est bien présente, mais le problème n’est pas pour autant résolu.

Pour désinscrire les utilisateurs, il sera nécessaire d’avoir une intégration native pour toutes apps utilisées dans votre entreprise. Un point crucial à vérifier en amont de l’achat.

Et sans grande surprise, les logiciels de SaaS Management qui comptent un grand nombre d’intégrations natives sont aussi les plus chères. 

Un pricing cohérent avec une cible “grandes entreprises”, mais décorrélé des besoins et moyens des PME.

Mais le SSO permet de gérer les accès des utilisateurs, et donc leur désinscription (?)

Meme image based on the "Distracted Boyfriend" format, depicting a man looking at another woman while his girlfriend looks at him in disbelief. The labels added to the image are: "SaaS Vendors" on the boyfriend, "Adding SSO to Enterprise Plans" on the other woman, and "Providing SSO at a Reasonable Price" on the girlfriend. The meme humorously comments on SaaS vendors prioritizing adding SSO (Single Sign-On) to expensive enterprise plans over offering it at a reasonable price.

Les mises en garde seront les mêmes que celles développées plus haut. Mais nous distinguerons 2 aspects : 

1/ Le SSO n’est pas une solution technique au deprovisioning

Sans jargon technique : les solutions de Single-Sign-On ne gèrent que les accès utilisateurs. Ce n’est pas parce qu’un utilisateur ne peut plus accéder à une application qu’il en est pour autant désinscrit. 

Côté sécurité, aucun problème, mais pour les souscriptions avec un tarif basé sur le nombre d’utilisateurs, vous continuerez de payer à moins de désinscrire manuellement les employés pour chaque app.

2/ Les intégrations SSO impliquent également des coûts masqués

Le premier coût, c’est celui de la solution SSO que vous avez choisie. Un abonnement logiciel de plus ! 

Le coût principal réside - comme dans le cas du SCIM développé plus haut - dans l’augmentation des coûts pour chaque logiciel existant. Car la plupart des éditeurs de logiciel réservent également les intégrations SSO à leurs plans premium.

Notion's pricing plans comparison chart, detailing features for Free, Plus, Business, and Enterprise tiers. The Free plan, offered at €0, includes unlimited blocks for individuals and basic features like collaborative workspace and basic page analytics. The Plus plan, costing €7.50 per user/month billed annually, adds features like unlimited file uploads and 30-day page history. The Business plan, priced at €14 per user/month billed annually, includes everything in Plus and additional features such as SAML SSO, private teamspaces, and advanced security. The Enterprise plan requires contacting sales for pricing and provides all Business features plus advanced controls like SCIM provisioning, audit logs, and advanced security & compliance integrations. The image highlights the SAML SSO feature included in the Business plan.
Asana's plan comparison table, detailing features across various subscription levels including Premium, Business, and Enterprise. The table includes sections for security, team collaboration, and admin controls. Key features listed include Google SSO, private teams, custom onboarding, admin announcements, and advanced project controls. The image highlights "SAML" as a feature available in the Business and Enterprise plans. Additional Enterprise-exclusive features include user and group provisioning and deprovisioning (SCIM), service accounts, mobile data controls, and advanced administrative and security controls.
Slack's pricing plans comparison table, illustrating features for Pro, Business+, and Enterprise Grid tiers. The Pro plan, costing €6.75 per person/month billed yearly, includes unlimited message history, unlimited apps and integrations, and voice-first huddles for up to 50 participants. The Business+ plan, priced at €11.75 per person/month billed yearly, provides all Pro features plus 99.99% guaranteed uptime, user provisioning and deprovisioning, SAML-based single sign-on, and unlimited canvases with 90 days of version history. The Enterprise Grid plan requires contacting sales for pricing and includes comprehensive security and compliance features, a built-in employee directory, and support for up to 500,000 users. The image highlights the SAML-based single sign-on feature included in the Business+ plan.
Calendly's plan comparison table, detailing features across different subscription levels: Free, Standard, Teams, and Enterprise. The table includes features under categories such as routing options, security, and management. Key features listed include locking and syncing managed events, routing by HubSpot or Salesforce assignments, and form analytics. The image highlights "SAML single sign-on (SSO)" as an add-on feature available only in the Enterprise plan. Other Enterprise-exclusive features include advanced user provisioning via SCIM, domain control and account oversight, activity (audit) log, and monitoring success on an organization- and user-level.
Comparison table of pricing plans for Airtable, detailing features available in Free, Team, Business, and Enterprise Scale tiers. The table includes sections for Admin Controls and Security and Compliance. Features listed under Admin Controls include federated organization with associated domains, admin panel, organizational units, and SCIM user provisioning. The image highlights "SAML-based single sign-on (SSO)," which is available in the Business and Enterprise Scale plans. Security and Compliance features listed include data loss prevention (DLP), audit logs, and Enterprise Key Management, with some features available as add-ons in the Enterprise Scale plan.
monday.com's plan comparison table, outlining features available in Free, Basic, Standard, Pro, and Enterprise plans. The table focuses on sections for Security & Privacy and Administration & Control. Features listed under Security & Privacy include SOC 2 Type II Compliance, two-factor authentication, private boards and docs, and Google authentication. The image highlights "Single Sign-On (SSO)" for Okta, OneLogin, Azure AD, and Custom SAML, which is available only in the Enterprise plan. Other features under Administration & Control include board administrators, SCIM provisioning, audit logs, and session management.
DocuSign's pricing plans comparison table, outlining features available in Personal, Standard, Business Pro, and Enhanced Plans. The Personal plan, at $10 per month, includes 5 templates per month and access to 900+ partner integrations. The Standard plan, priced at $25 per month, adds features such as shared templates, collaborative commenting, and customized branding. The Business Pro plan, at $40 per month, includes all Standard features plus advanced fields, bulk send, and payments. The Enhanced Plans offer additional benefits and require contacting sales for pricing. The image highlights the "Single sign-on (SSO)" feature, available only in the Enhanced Plans. Other Enhanced Plan benefits include managing data across accounts, 24/7 live support, and customized integrations.

Cet écart a été documenté par le mini-site au titre éloquent de “mur de la honte du SSO” (The SSO Wall of Shame) → https://sso.tax/

Toujours d’actualité : ses dernières mises à jour datent de juin 2024.

Alors... Comment gérer les licences logiciel dans une PME ?

Meme image featuring the "This is fine" dog cartoon. The dog is sitting in a burning room, calmly saying, "This is fine." Various labels are added to the image: "ENGAGED IN A CONTRACT WITH AN ENTERPRISE SMP," "SSO TAX," "ALREADY CHOSE TO SWITCH TO OKTA," and "ON-OFF/BOARDING NEED ENTERPRISE PLANS." The meme humorously illustrates the stress and complications of dealing with enterprise software and service plans, despite attempting to stay calm.

Un compromis côté fonctionnalité est nécessaire. À moins que vous ne soyez prêt à surpayer pour gérer cet aspect de votre entreprise.

Sécurité des accès

Nous vous recommandons d’utiliser un gestionnaire de mots de passe. Assurez-vous que les employés respectent les bonnes pratiques élémentaires. Dans cette optique, nous vous recommandons les directives sur les mots de passe du service d’assistance et de prévention du risque numérique :  cybermalveillance.gouv.fr/tous-nos-contenus/actualites/comment-choisir-un-bon-mot-de-passe 

Si les apps que vous utilisez le permettent, encouragez les employés à se connecter uniquement via les boutons « Se connecter avec Google » / « Se connecter avec Office 365 ». Vous serez alors en mesure de bloquer tous ces accès via votre portail d'administration Google ou Microsoft.

Onboarding et Offboarding des utilisateurs

Mettre en place un processus unique et partagé à toutes les équipes sera déjà une excellente chose.

Pas besoin d’un modèle trop élaboré. Le simple fait qu’il existe est déjà une victoire. Les informations nécessaires seraient :

Définir les responsables d’applications (souvent celui qui a le statut d’ administrateur)
Suivre les tâches à effectuer (inscription ou désinscription)
Vérifier les dépenses et renouvellements

Un exemple de procédure : 

Claire est responsable marketing, elle est administratrice des réseaux sociaux. Lorsque la community manager quitte l’entreprise, Claire doit s’assurer de bien supprimer ses accès aux comptes de l’entreprise, ainsi qu’aux outils utilisés pour publier, analyser, ou éditer les contenus.

Et pour optimiser ces actions, il faut idéalement avoir une liste à jour de tous les logiciels utilisés par chaque employé.

L’importance de centraliser les abonnements logiciel :

La plupart des PME recensent les applications payantes dans un tableur ou un outil de gestion de projet dédié (Notion, Asana, Trello, etc.)

Nous vous proposons d’ailleurs un template gratuit, fruit de notre expérience “sur le terrain”. 

Cette option n’est cependant pas idéale. Elle implique que tout le monde déclare chaque logiciel utilisé, et recense les accès. Ce n’est pas du tout évident que ce document reste à jour dans l’entreprise.

Un peu d’auto-promotion : c’est à ce moment que LicenceOne est pertinent. Nous avons automatisé cet inventaire pour les PME. 

Et pour faciliter les procédures, la plateforme envoie des notifications aux responsables d’applications pour les différentes actions qu’ils doivent réaliser (négocier un renouvellement de contrat, désinscrire un employé, supprimer l’application…)

Screenshot of the LicenceOne application, displaying the "Tasks" section. The left sidebar includes navigation options such as Dashboard, Tasks, Applications, Employees, Processes, Renewals, and Data sources. The main section lists tasks with filters applied, showing tasks that are "To do," "Upcoming," and "Complete." 

Highlighted is a task to "Remove Rémy Neuter from Notion," with detailed information on the right:
- Task type: Offboarding
- Assigned to: Emilien Potin
- Due date: 07/10/2021
- Postpone until: 09/10/2021
- Task status: To do
- Linked app: Notion
- Linked process: Offboarding Rémy Neuter

The task was created automatically by LicenceOne. Further comments indicate issues with access rights for the assigned personnel.

En résumé :

Pour vous assurer d’onboarder ou de désinscrire les employés de votre PME :

  1. Une plateforme de SaaS Management avec offboarding automatiqueAttention : les options de gestion des accès (SCIM) ou d’identification (SSO) sont nécessaires et augmentent les budgets associés
  2. Spreadsheet / outil de gestion de projetAttention : l’enjeu sera de le maintenir à jour
  3. LicenceOne, pour automatiser le suivi des outils utilisés en interneAttention : il faudra tout de même que les responsables d’application désinscrivent les employés manuellement

Si vous avez des questions après avoir lu cet article, n'hésitez pas à nous envoyer un message via notre outil de chat sur cette page. Nous avons à cœur de vendre le bon outil au bon acheteur, et non de sur-vendre des fonctionnalités inutilisables et d'engager les entreprises dans des contrats de 12 mois.

SaaS Onboarding and Offboarding FAQ

Ma platefrome de SaaS Management propose la fonctionnalité d'offboarding automatique

Les solutions SSO comme Okta et OneLogin peuvent-elles gérer l’offboarding ?

Les plateformes de SaaS Management peuvent-elles désinscrire des utilisateurs à partir de Google Workspace ou Microsoft 365 ?