La gouvernance des identités
à l'échelle, en terre européenne.
SSO, MFA, provisioning et accès conditionnel pour toute votre organisation, opérés depuis l'Union européenne, sans dépendance hors UE dans le chemin des requêtes. Cette page parle de vos vraies journées : un départ à couper, un audit à passer, des filiales à cloisonner.
Le problème n'est pas l'accès. C'est l'endroit où vit votre accès.
La plupart des grandes organisations européennes font tourner leur couche d'identité sur un IdP américain. Vos journaux d'authentification, votre annuaire et votre plan de contrôle relèvent alors d'une juridiction étrangère, soumise à des lois que vous n'écrivez pas.
Risque juridictionnel
Votre annuaire et votre piste d'audit résident hors UE, exposés à des demandes légales extraterritoriales que vous ne pouvez pas contester.
Verrouillage fournisseur
Des formats et connecteurs propriétaires rendent la sortie coûteuse. Le coût de migration devient la stratégie de l'éditeur.
Gouvernance opaque
Les changements de politique partent sans versionnement ni simulation. Vous découvrez l'effet d'une règle en production.
Agents non maîtrisés
Les agents IA s'authentifient avec des secrets partagés, sans périmètre, durée ni kill switch par agent. Une prolifération d'identités inauditables.
Trois situations où Obexal fait la différence
Pas de liste de fonctionnalités ici : trois situations que vos équipes connaissent déjà, et ce qui change quand l'identité est gouvernée au bon endroit. Le détail produit vit sur les pages liées.
L'offboarding du jour J
Un collaborateur part un vendredi à 17 h. Vous suspendez son compte dans Obexal, et le SCIM sortant désactive ses comptes dans les applications en aval, automatiquement. Chaque désactivation est consignée, chaque échec est audité : rien ne disparaît en silence. L'accès est coupé en un clic, et la preuve est déjà écrite. Voir le provisioning SCIM.
- Suspension en un clic, sessions révoquées
- Déprovisionnement automatique via SCIM sortant
- Échecs de déprovisionnement consignés au journal d'audit
Le jour J, la question n'est pas « a-t-on pensé à tout ? » mais « où est la preuve ? ». Elle est déjà dans le journal.
L'audit annuel sans sueur
L'auditeur demande qui a accédé à quoi, qui l'a décidé, et qui a vérifié. Le journal d'audit immuable répond : chaque action sensible est horodatée et attribuée, exportable, et diffusée en temps réel vers votre SIEM. Pour les agents IA, les revues d'accès attestées documentent qu'un humain a bien revu chaque délégation. Voir les mesures de sécurité.
- Journal d'audit immuable, horodaté et attribué
- Export et flux temps réel vers votre SIEM
- Revues d'accès attestées des agents IA
| Heure | Acteur | Action |
|---|---|---|
| 17:02 | rh.dupont (console) | Utilisateur j.martin suspendu |
| 17:02 | SCIM sortant | Compte désactivé : CRM ventes |
| 17:02 | SCIM sortant | Compte désactivé : suite bureautique |
| 17:03 | SCIM sortant | Échec consigné : outil BI |
| 17:04 | rh.dupont (console) | Sessions actives révoquées |
Filiales et multi-marques
Un groupe, plusieurs entités : chaque filiale ou marque vit dans son propre tenant, étanche au niveau des données, avec son écran de connexion en marque blanche et ses domaines custom vérifiés par DNS. Les équipes locales administrent leur périmètre, le groupe garde la vue d'ensemble. Voir la gestion des accès.
- Un tenant par entité, isolation au niveau des données
- Marque blanche par entité : logo et écran de connexion
- Domaines custom vérifiés par DNS TXT, TLS automatique
- Modèle
- Un opérateur, des tenants étanches
- Marque
- Blanche, par entité
- Domaines
- Custom, vérifiés par DNS TXT, TLS automatique
- Rôles
- RBAC personnalisés, anti-escalade
Et vos agents IA ?
Trois garanties, en bref. Le modèle complet vit sur la page gouvernance des agents IA.
Une identité par agent
Un propriétaire humain, une expiration et un cycle de vie (actif, dormant, expiré, orphelin) : chaque agent est une identité de premier rang, pas une clé d'API partagée.
Des bornes fail-closed
Un plafond de scopes, un plafond de TTL et une allowlist d'audience par agent : le rayon d'impact est plafonné par conception.
Un kill switch immédiat
Suspendez un agent : les jetons déjà en circulation deviennent inertes à l'introspection, et chaque délégation reste traçable.
Le déploiement, sans big bang
Des durées indicatives, pas des promesses : chaque contexte diffère, et la coexistence progressive évite l'effet tunnel.
Connecter la source d'identité
Provisionnez les utilisateurs via SCIM 2.0 entrant ou fédérez votre annuaire LDAP ou AD. Typiquement quelques heures à quelques jours, selon la propreté de la source.
Câbler les premières applications
Clients OIDC ou SAML depuis un catalogue d'environ 40 connecteurs, ou en intégration personnalisée. Typiquement quelques jours, app par app, sans big bang.
Écrire et simuler les politiques
L'accès conditionnel est versionné et simulé sur 30 jours de connexions réelles avant application. La simulation est immédiate ; la rédaction des règles se compte en heures.
Basculer, puis gouverner
Migration par coexistence, app par app : SCIM pour les comptes, réinitialisation propre des mots de passe au premier login. Vous basculez à votre rythme, avec restauration possible de toute version de politique.
La souveraineté, en trois faits
Le dossier de preuves complet vit sur les pages souveraineté et sécurité. Voici l'essentiel.
Hébergé en France
Datacenter en région parisienne, résidence des données dans l'UE.
Aucune dépendance hors UE
Aucun service hors UE dans le chemin des requêtes, aucun CDN externe, polices auto-hébergées.
Chiffrement documenté
TLS 1.2 minimum (1.3 privilégié), secrets applicatifs chiffrés AES-256-GCM au repos, mots de passe hachés Argon2id.
Questions des achats et de la sécurité
Quels délais de déploiement prévoir ?
Typiquement quelques jours pour un premier périmètre (source d'identité, premières applications, politiques simulées), puis une bascule progressive, app par app, à votre rythme. Nous préférons des durées indicatives honnêtes à des promesses fermes : le facteur dominant est la propreté de votre annuaire source.
Quel accompagnement pendant la migration ?
Un interlocuteur direct pendant toute la mise en place, via la page contact. La méthode est la coexistence progressive : Obexal fonctionne à côté de votre fournisseur actuel, app par app, jusqu'à la bascule complète. Les hashes de mots de passe ne sont pas importés ; les comptes passent par une réinitialisation propre au premier login.
Et si nous voulons partir un jour ?
La réversibilité est un critère de conception : OIDC, OAuth 2.1, SAML 2.0 et SCIM 2.0 sont des standards ouverts, l'API d'administration est publiée en contrat OpenAPI 3.1 sur /v1/openapi.json, et le journal d'audit s'exporte. Votre coût de sortie reste borné.
Combien ça coûte ?
Starter à 2 € et Équipe à 5 € par utilisateur et par mois, Business et Enterprise sur devis. L'essai est gratuit 30 jours, sans carte bancaire. Le détail est sur la page tarifs.
Où nos données sont-elles hébergées ?
En France, dans un datacenter en région parisienne, avec résidence des données dans l'UE et aucune dépendance hors UE dans le chemin des requêtes. Le dossier de preuves est sur la page souveraineté.
Rapatriez votre couche d'identité.
Essai gratuit 30 jours, sans carte bancaire. Ou parlez-nous de votre contexte : filiales, audit, migration.