Dev'Obs #30 / IAM @ Scaleway
Télécharger MP3Bonjour à tous et à toutes et bienvenue dans un nouveau numéro de Dev'Obs. Alors premier numéro de l'année et aujourd'hui je suis ultra content d'être chez Scaleway pour parler d'IAM autour de la table, donc on a des personnes de qui vont pouvoir se présenter et euh, également euh,
Thomas qui sera avec nous, que vous connaissez déjà dans les anciens podcasts. Je vais vous laisser vous présenter.
Bonjour à tous, je m'appelle Cyril Pettel, je suis produc manager chez Escalway,
et depuis un an, depuis mon arrivée chez ce qu'elle voit, j'ai travaillé sur le produit d'identité management I am,
Avant ça j'ai fait pas mal de conseils et par participer à différents projets cloud chez d'autres acteurs, j'avais un profil assez business et ça a été ma première euh année euh l'année dernière en tant que product manager.
Creuser ce beau produit.
Euh bonjour à tous euh moi je suis Julien Brochet euh je suis à Skelway depuis trois ans euh et actuellement donc je suis de en partie sur euh le projet Aya mais euh également sur d'autres projets voilà très succinctement.
Et bonjour à tous euh moi du coup c'est Thomas qui a euh Damir sur Twitter et sur mon blog du coup et euh pour le coup moi je travaille euh chez Waze du coup qui est une entreprise euh de.
D'experts et de web administrateurs à service donc du coup on vous propose euh des solutions d'accompagnement de nos clients, notamment sur des solutions comme Scal.
Et tu as un blog comme tu as dit euh.
C'est ça et j'ai un blog qui est euh Damir euh point FR dans lequel vous retrouvez un article euh pour euh du coup sur lequel je décris ma découverte de euh de l'IAM euh chez Scalway avec un des exemples et euh le code source si vous voulez vous-même euh tester.
Et on en discutera, ce qui est plutôt cool. Euh et donc pour ma part, Guillaume Letron, euh et alors j'ai changé, j'avais un petit dessin dans le l'épisode d'avant. Euh maintenant je suis DFC Cops Excellence Leader,
chez Cegide. Eh oui, on se marre à côté, mais euh le titre est ultra classe, je trouve. Et euh, tel que j'aurai l'occasion d'en reparler hein, dans un futur podcast euh, de ce que ça veut dire euh,
Excellence Leader euh chez Cegine. Hum alors pour commencer on a déjà un peu parlé dans les présents podcasts euh notamment dédiés aux clubs souverains de ce que voulait dire IAM mais,
On peut vous demander à vous de ce qu'est le web de le redéfinir euh peut-être aussi présenter le produit et euh et ce qu'il.
Commencer par ce qu'elle voulait, je sais pas si tous les auditeurs euh nous connaissent bien. Euh Skelway on est un club provider euh européen, bon historiquement français, on est basé à Paris.
Et on offre à nos clients un écosystème cloud euh assez large, on va durer jusqu'au on a un catalogue produit euh d'une vingtaine de produits aujourd'hui et bientôt plus.
On essaye de servir.
Toute une variété de clients mais euh notre cible principale c'est les start-up européennes euh et aujourd'hui euh la majorité des produits est euh du target qu'on fait sont adressés à ces start-up européennes-là.
Hum on avait beaucoup de produits mais un manque était souvent monté par nos clients, c'était euh le manque d'IAM. Alors qu'est-ce que c'est un IAM,
donner ma définition mais Julien t'en aura peut-être une un petit peu différente. Euh chez nous l'IAM c'est surtout la partie access management qu'on a travaillé à travers ce produit, c'est pouvoir euh de façon assez simple, décider qui a le droit de faire quoi sur mon infrastructure.
C'est-à-dire, une infrastructure, c'est un ensemble de produits, donc pour chacun des produits que vous avez dans votre écosystème Skillway, euh quels utilisateurs et quels accès programmatiques peuvent faire quoi.
Euh voilà tout simplement. Je sais pas si tu veux compléter Julien.
Non non, ça c'est euh, c'est assez fidèle. Je pense qu'effectivement on peut mettre d'autres choses dans dans la gamme mais euh, globalement la grosse brique qui intéresse quand même pas mal de monde, c'est c'est cette partie-là, c'est c'est la partie euh, gestion granulaire des droits et des permissions euh, sur les ressources euh, non ça c'est euh, assez fidèle.
Et euh et je je enfin je le précise tout de suite euh c'est pas une opération euh sponsorisée
une euh ce qu'elle voulait nous invite dans ses locaux euh ce qui est déjà euh ce qui est déjà très bien. Euh le but étant ici, ben justement suite au podcast qu'on a déjà fait avant, de vraiment présenter euh justement les évolutions euh qui sont faites et euh je trouve que IAM est un point euh
extrêmement important et qui est euh qui en effet était souvent remonté, même nous dans le visage euh dessus et donc c'est pour ça que ben on voulait euh.
Vous vous demandez d'en parler justement pour que tout le monde découvre cet outil-là et puis aime qu'on comprenne un peu plus comment il était fait et à quel point c'était compliqué. Et euh dans ce cadre-là peut-être pour qu'on comprenne même encore mieux euh comment ça se fait euh l'IAM,
c'est Thomas tu as alors toi dans ton blog t'as été plutôt dans un point de vue justement utilisateur de ce produit qui est sorti d'ailleurs euh il est sorti même il est même sorti de bêta ou pas.
Alors il était embêtat depuis juillet 2022. On a eu une phase de bêta de six mois et depuis le mois dernier, depuis début décembre. Euh il est disponible pour tous nos clients. Euh il a pas été activé par défaut, donc on va avoir des clients qui l'ont activé, d'autres pas encore.
Mais il est disponible pour tous.
Et donc euh voilà, c'est pour ça que Thomas, tu vas peut-être le présenter toi d'un point de vue plus utilisateur, ce que ça veut dire toi dans ton contexte euh de ce que t'as vu.
Du coup effectivement moi je j'ai un peu fait mon test en boîte noire en tant que simple utilisateur comme si je venais de créer mon compte en tant qu'entreprise chez Scalway. Et euh du coup c'est euh c'est assez intéressant parce que c'est quand même une fonctionnalité comme on a comme Guilhem l'a rappelé
ça fait quand même longtemps qu'on l'attend chez français, c'est un peu le principal reproche qu'on faisait en général euh.
On a déjà on a déjà pas mal parrainé dans dans les euh dans le podcast présent sur la souveraineté et ce qui est intéressant c'est que ben c'est comme on disait une brique essentielle assez simple dans la logique mais faut voir que pour rappel euh peut varier un peu de en fonction des codes provide,
et quand on parle du coup d'IAM c'est euh euh.
Euh et du coup cette brique-là du coup effectivement le but c'est de gérer les accès et les permissions mais souvent en fait il y a d'autres briques qui vont être collées ou intégrées dessus,
Donc euh on pourra un peu en reparler après mais c'est juste pour vous dire euh que ça peut un peu varier le et du coup ben pour tester c'est très simple, j'ai été euh sur la documentation, j'ai regardé un peu,
se composer l'offre, comment ça fonctionnait, comment l'utiliser.
Et j'ai commencé à mettre ça en place donc euh j'ai testé euh sur l'interface du coup web, la console web euh comme on pourrait le faire euh classiquement, mais j'ai surtout euh testé euh la partie du coup euh qui est la partie euh Terraform
Aujourd'hui en entreprise ben c'est ce que je demande, moi je je veux pas faire d'action sur le web euh c'est marrant deux minutes pour une démo mais pas plus. Donc du coup euh,
T'as des avis contradictoires mais
C'est ma ma vision des choses. Et hum en tout cas euh ben assez rapidement j'ai pu euh prendre en main euh du coup euh le système. J'ai commencé à créer ben du coup euh des utilisateurs, des applications, leurs racines et des droits
ce qui est assez intéressant euh, c'est que déjà bah, Day One de ce que j'ai vu tout était intégré du coup aux différents outils,
On a pas dû attendre une disponibilité dans un un énième outil. Donc ça c'était plutôt euh.
Quand tu parles là de de disponibilité dans les outils ça veut dire quoi.
Ça veut dire que c'était accessible de la c'était accessible sur le c'était vraiment utilisable euh sur l'ensemble de entre guillemets l'écosystème de Touling donc ça c'est quand même quelque chose aujourd'hui qui pour moi est important. Moi pour moi à partir du moment.
Diverge un.
On parle de de global d'une euh d'une euh d'une fonction sur un club provider ou d'un service, ça doit intégrer en fait la disponibilité dans la Cli, dans l'API et euh du coup ben dans le sans ça je considère pas que c'est Angers.
Enfin sur cette partie-là on était totalement conscient que hum faire ce que nous demandaient vraiment les utilisateurs c'était de
utiliser par terre à forme parce qu'on en est tout à fait conscient que c'est comme ça qu'est consommé en une grande partie de nos API du coup dans le développement, assez tôt, en fait on on on a vraiment pensé les applis déjà pour une intégration Terra Forme, on voulait que l'intégration Terraform soit disponible le plus tôt possible, c'est-à-dire que
enfin l'ouverture à la console devait vraiment être liée aussi avec une ouverture. C'est pas envisageable d'ouvrir euh uniquement la console justement pour ces raisons-là encore.
Pour le coup c'est une très bonne chose que j'apprécie et je pense que beaucoup l'ont l'ont apprécié,
Et pour le coup euh ben autrement c'est assez simple dans le fonctionnement donc vous avez votre organisation Scalway ça ça change pas, qui était déjà en place. Vous avez votre découpage
projet qui euh existe depuis quelques années aussi et vous allez pouvoir du coup créer ben soit des applications donc du coup ça ça va être des utilisateurs non humains,
ou des utilisateurs que vous avez invités qui là sont euh identifiés par une adresse mail qui sont en réalité du coup des utilisateurs euh bah humains. Donc comme je disais. Euh et du coup vous allez à eux pouvoir les assigner dans des groupes.
Et vous allez pouvoir assigner du coup bah des euh règles hein des sets de règles donc ce qu'on appelle des policiers en général assez euh ressources donc que ce soit les groupes, les utilisateurs ou les applications pour euh pouvoir euh du coup leur donner des droits,
pour la construction des droits ce qui est un peu le plus euh.
Dire qu'il peut très vite être complexe, on est sur un système qui pour l'instant est euh, assez euh, basique mais qui offre pas mal de flexibilité.
Que vous allez avoir euh globalement euh dans le la configuration.
De deux étapes, une première où vous allez choisir du coup le ou les projets dans lequel vous voulez mettre des droits.
Ensuite vous allez donner euh une liste de d'ensembles d'actions que vous allez vouloir euh autoriser. Il y a que de l'autorisation, il y a pas du refus,
c'est important de de le noter. Et du coup si je prends un exemple, demain ben vous avez un utilisateur euh vous voulez l'autoriser j'ai des développeurs, je vais les autoriser au moins à voir.
L'état des instances, les buckets, possiblement, mais pas supprimer les buckets, je vais avoir des policiers qui vont être euh.
Allô euh rides euh buckets euh à l'eau euh rides instances et euh du coup on va pouvoir varier comme ça un peu les droits euh ça va être assez euh basique dans le sens où,
Pour l'instant, la plupart du temps ça se limite à du ou du full Access,
Il y a pour euh certains services notamment S trois, quelques petites subtilités en plus. On peut euh par exemple autoriser euh l'écriture mais pas la suppression de bucket. Ça peut être euh intéressant dans certains cas.
Mais euh pour l'instant voilà on reste sur une notion assez basique mais assez granulaire dans le sens où on pourra au moins choisir par service et par projet. Donc on peut déjà commencer à faire une limitation qui est.
Infiniment meilleur euh que précédemment donc c'est quand même euh quelque chose qui est assez agréable et qui fonctionne euh plutôt bien d'un point de vue utilisateur, j'ai fait des tests notamment euh ben en essayant un peu de.
De voir où jusqu'où je pouvais aller euh quand j'avais mis des droits, est-ce que je pouvais euh aller un peu plus loin que ce que je pensais et j'ai pas rencontré trop de de mauvaises surprises, par exemple si vous mettez un rideau de nid,
d'un utilisateur sur du capsule, vous allez pas pouvoir récupérer du coup le euh cube CTL dans lequel il y a les droits d'admin. Voilà des petites choses comme ça euh ça ça a l'air d'être c'est plutôt rassurant que ça soit euh pensé.
Donc euh là-dessus c'est euh c'est plutôt euh plutôt cool. J'ai eu quelques petites erreurs des erreurs euh sur euh la alors étrangement j'ai pas eu d'erreur en teraforme ni en cli.
Sur l'interface graphique en essayant de créer des policiers, j'ai eu pas mal de fois des des petites erreurs euh avec le petit la petite pop-up rouge euh mais qui me donne pas beaucoup de détails. Ça c'est un le seul truc niveau X c'est un peu frustrant, c'est ouais sur la console des fois on voit erreur et on.
Mais.
Ouais. Il faut se rendre compte que la la console a jamais été pensée, enfin en tout cas hum pour avoir justement hum enfin un un des grands paradigmes qui change justement avec IAM c'est qu'avant un utateur sur la console avait accès à,
on avait trois rôles prédéfinis ont été euh, soit euh, l'honneur de de mon organisation, soit été administrateur ou soit été biling avec des droits très spécifiques. Du coup la console a jamais été euh, vraiment pensée
pour un affichage en se disant ben j'ai juste,
permission, telle permission, telle permission. Et euh et du coup ça demande énormément de refactoring, ça demande énormément de revoir toute la structure pour se dire bah suivant les permissions que j'ai,
je peux potentiellement faire qu'une certaine action sur la console mais faut que
quand même je puisse voir euh enfin je puisse quand même naviguer sur la console avec uniquement un certain nombre de permissions très spécifiques et donc euh ouais ça demande énormément de boulot et euh, c'est quelque chose sur lequel on a conscience qu'on bosse mais euh, effectivement ouais c'est le le
euh le le le problème à l'heure actuelle c'est que de temps en temps t'as des petites euh des petits messages d'erreurs qui t'affichent.
L'intégration graphique euh c'est un énorme challenge quand on fait l'accès management et là Julien et moi on représente plutôt la partie euh packend, on a surtout travaillé sur euh.
Sur la conception du produit euh sans penser euh uniquement à la partie front mais côté front il y a eu un travail euh énorme pendant toute l'année.
Au moins en tant que nous pour euh construire une console qui fonctionne, même si il y a quelques erreurs, comme tu l'as dit, euh avec euh ben plein de scénarios de permission différent.
Et euh là c'est tu parles avec quel euh point de vue, ça veut dire que tu connais quel autre IAM quand tu compares par rapport à ça euh et quels seraient les euh les points que tu vois euh si jamais moi par exemple je suis habitué à l'IAM euh que t'es AWS ou Azur ou n'importe euh.
Moi je suis habitué plus à la M côté à WS qui est un peu l'inverse qui est ultra euh complet,
qui pour le coup est beaucoup plus difficile d'accès pour euh beaucoup euh d'entreprises et de tech. Donc euh ouais c'est un peu le le cas inverse mais euh si je compare un peu à l'écosystème FR.
De ce que j'ai vu chez les autres clubs de fournisseurs, c'est quand même aujourd'hui euh je pense celui qui est le plus avancé.
Et qui euh, fonctionnent euh, le mieux demain si demain je dois j'ai des problématiques on va dire de d'aller sur un club fournisseur français et je veux gérer les droits un minimum bah, clairement c'est c'est la meilleure offre pour moi qui est actuellement.
Et euh.
Ça fait plaisir à entendre hein.
Les compliments.
C'est le travail hein qui mérite mais euh là si jamais il y a d'autres fonctionnalités peut-être que Thomas n'a pas essayé, est-ce que vous en avez d'autres en tête euh qui euh,
Moi par exemple il y a une grosse logique euh j'en avais parlé déjà dans le présent podcast sur l'audit ça veut dire avoir accès à toutes les traces de qui a fait quoi? Est-ce que vous avez ce genre de choses.
On l'a pas encore euh on a.
Sept minimum euh d'informations mais c'est encore assez léger et c'est une des priorités de l'année deux-mille-vingt-trois justement c'est dans notre map et on commence à travailler là-dessus. On sait que nos clients, notamment dans certaines industries, vont avoir des exigences importantes sur euh.
Accéder à quoi? Parce qu'ils vont avoir des audits, même à titre personnel ils veulent savoir ce qui se passe. Et on travaille dessus donc on dès les prochains mois c'est il va y avoir des des nouveautés là-dessus.
On on a les informations brutes, la question, la problématique c'est euh, comment on la rend visible à l'utilisateur de manière la plus pertinente possible
pour que l'utilisateur puisse vraiment avoir l'information qu'il a besoin sans sans sans vraiment lui donner euh euh une liste euh de locs bruts euh et en disant ben débrouille-toi euh l'idée c'est c'est de savoir comment on lui fournit avec une valeur ajoutée quoi,
puissent vraiment extraire l'information qu'il a besoin.
Et euh donc là vous en avez un peu parlé, c'est combien de temps le projet? Enfin c'est-à-dire comment ça se passe? Que ce qu'est le Weed ça a combien de temps? C'est une entreprise qui s'est lancée euh.
Ça va ça va dépendre de de où tu vas, où tu pars euh je pourrais pas te donner exactement tous les détails, il y a des beaux articles qui ont été faits sur l'histoire de Skylow. Euh sur la partie cloud euh en tout cas je peux juste parler, je vais pas m'engager sur l',
euh juste sur la partie IAM en tout cas. Euh le projet a commencé j'ai envie de dire à il y a 18 mois à peu près, un an, un an et demi sur les premières réflexions
Hum il y a eu beaucoup de
techniques euh c'est en fait quand on voit un peu les les résultats on se dit bon ben voilà il y a quatre pages euh c'est c'est pas forcément euh super compliqué. Euh en fait il y a eu beaucoup de dettes techniques euh on pourrait en parler des heures je pense de de tout ce qu'on a dû euh tout ce qu'on a dû cliner.
Comme genre de choses enfin pour être euh.
En gros euh bon on peut rentrer dans les détail.
C'est ça. Euh globalement en fait comment marche ce qu'elle est? Aujourd'hui on a deux parties, on a la partie euh authentique et la partie,
la partie autorisation est fait par l'API Gate, c'est-à-dire que les requêtes arrivent, elles sont authentifiées,
Et après euh le micro-service derrière ou genre euh Cuberities euh instance capsule.
Parce que euh on le précise, vous êtes aussi l'équipe qui gère les pieds à.
Exactement.
C'est pour ça que les deux sont liés et.
En gros globalement on gère un peu toutes les problématiques de d'authentification et d'autorisation quoi. En fait euh le,
l'authentication par la et après bah la partie qui maintenant est fait par IAM qui avant n'était justement pas fait par I
hum et en gros hum chaque micro-service euh lui reçoit la requête qui a été authentifiée et en fait c'est le micro-service qui va s'occuper de demander euh un service d'authentification bah là j'ai telle requête qui est rentrée, est-ce que ma requête a le droit de faire telle permission
et donc il fait cette ce ce cette requête de permission-là.
Microservice-là et qui va lui répondre oui ou non euh est-ce que le permission? Et en gros l'idée c'est euh c'est que.
Les micro-services avaient pas été totalement migrées sur euh sur ce système de permission centralisé,
En fait on était sur un un paradigme un peu inversé, c'est-à-dire que euh le micro-service récupérait l'ensemble des permissions euh que l'utilisateur avait, et c'est lui qui allait regarder dans la liste des permissions pour dire ben est-ce que euh
Est-ce que dans la liste j'ai la permission qui euh qui m'intéresse. On a changé un peu le paradigme
soit plus simple et justement pour que ça soit plus évolutif, se dire ben en fait euh le micro-service il a juste besoin de se dire ben moi je vais vérifier euh euh serveur ride, euh j'ai été le requête en trente, réponds-moi oui ou non.
Et euh, la logique est totalement abstrait et elle est centralisée. Du coup la première étape c'était de s'assurer que euh, tous les micro-services
la même langue, donc parle avec le même euh service d'authentification, ça avait pas été fait entièrement donc les nouveaux produits, il y a pas eu de souci, mais il y avait certains micro-services un peu Legacy euh euh qui avaient jamais été migrés totalement,
en fait il y a une grosse partie ben en fait fin de chantier, fin de fin de projet euh un peu la queue de projet qui avait jamais été totalement terminée,
Donc la première partie ça a été euh ça a vraiment été de faire ça quoi. Et donc mine de rien ça prend déjà euh trois à quatre mois,
amigré parce que c'est des équipes différentes donc euh il faut contribuer euh et surtout c'est des Scoops assez importants on parle des services Legacy donc c'est ben on avait un peu nous en interne c'était tous les les services euh
de gestion de comptes, gestion euh gestion d'organisation, euh gestion instance tous tous ces micro-services-là. Donc ça a appris déjà pas mal de choses.
Et après euh la grosse partie ça a été de migrer les euh ça a été de migrer le modèle de données. Hum en gros euh on parle euh.
Actuellement donc il y a un bouton pour activer ailleurs mais en fait on de manière technique on active pas IAM, c'est-à-dire que on a juste migré en interne notre micro-service d'authentification euh pour lui donner le modèle de données IAM,
et une fois qu'on a migré ce système de de données en interne euh ben en fait,
L'intégralité des gens utilise. En gros on a transposé le modèle de données qui existait actuel qui était très simple avec on avait trois rôles euh, un usateur était dans ces rôles-là,
en fonction des rôles on avait des permissions associées sur une organisation, on a transcrit ce modèle-là dans le modèle IAM donc qui a été expliqué plutôt avec euh tout un système de groupe, un système de policiers avec euh des un peu plus gradulaires. Bon ça a assuré que le précédent,
euh en fait on l'a transposé dans ce modèle-là et une fois qu'en fait on a fait le switch ben en fait on a migré tout le monde euh sur Aya en attente.
Tout ce qu'elle voulait en gros euh quand on a entre guillemets euh mis en production notre micro-service euh qui utilisait le modèle de Denis en gros euh.
Ce qu'elle voulait à migrer euh à migrer sur le modèle de.
Et ça s'est fait euh bien ou ça a été fait dans la douleur.
Non, eh ben, étonnamment, ça s'est fait plutôt pas mal. Euh, en gros, on l'a fait petit à petit et ce qu'on a fait, c'est que on s'est assurés que on n'avait pas euh, de changement de comportement. En gros euh,
L'avantage c'est qu'on avait le modèle de données avant après,
On a fait euh on a fait des échantillons statistiques euh pour s'assurer qu'en fait on pendant plusieurs semaines on a pris le les deux modèles de données, on a pris des cas d'usage aléatoire en disant,
telle personne, euh telle action, sur tel serveur, est-ce que hum est-ce que euh luttateur et la peine ne sont pas? On va assurer que.
Contrôlant Y euh en envoyant les doubles euh.
C'est ça. Et en fait on s'assurait que les comportements étaient identiques des deux côtés, plus des chèques manuels, parce que nous voilà on savait des cas un peu spécifiques où on avait déjà eu des problèmes, du coup on s'est assuré ces cas-là,
on a laissé tourner pendant plusieurs semaines pour s'assurer hum que euh il y avait exactement la même réponse sur les deux modèles de données en à gauche, à droite et après en fait on a on a déployé ça petit à petit,
sur plusieurs A à Z. Et l'avantage c'est qu'on on s'assure de déployer, je dis pas genre 50% des requêtes sur Tel AZ et après en fait on s'assure de vérifier que le taux d'erreur le taux de de sur la Z,
et identique sur euh vu que c'est distribué de manière euh de manière aléatoire entre euh l'ensemble des micro-services. On est capable de s'assurer que si le taux de réponse est identique entre les deux, il y a pas de changement de comportement.
Pas de significatif qui pourrait euh mettre en doute euh qu'il y a un problème dans le.
Ce que ça veut dire c'est qu'on en fait nos clients on les a migrés variables déjà depuis plusieurs mois et on parle aujourd'hui encore à,
des clients qui sont chez nous depuis longtemps et qui ont peur de migrer vers IAM parce que ça peut casser leur prod, parce qu'ils ont peur que des changements de droit et en fait euh activer IAM sur euh sa console, c'est juste mettre à disposition en graphique des fonctions,
et euh avoir les API qui sont prêtes à être utilisées, mais dans les faits, IAM est en production depuis plusieurs mois euh sans incidents notables, tout fonctionne très bien,
et on a pour l'instant eu aucune erreur remontée par un client euh autour des sujets de permission.
D'ailleurs l'utilisation c'est assez marrant parce que euh pas marrant. C'est faut pas prendre peur, il y a un peu la fenêtre qui arrive euh sur nous en disant Activa et tout on a l'impression que ça va un peu euh tout chambouler,
Mais en réalité en fait c'est c'est précisé mais c'est juste que sur le message sur le coup, on s'y attend pas. Mais en fait, non, ça ça cassera pas vos comportements que vous avez déjà, vos clés vont pas changer. Si vous avez des clés qui étaient déjà créées, donc euh ça, pour le coup,
J'ai testé le migré, j'avais un deux comptes juste qui étaient existés pour et pour moi. Et il y a pas eu de, j'ai pas eu, en tout cas, de mon côté de problème là-dessus, donc vous pouvez le faire euh globalement les yeux fermé,
Je me rappelle qu'il y a un petit bout de temps, ça va faire plus d'un an maintenant. Il y avait eu un une rotation totale des clés justement euh pour permettre ça euh ben c'était déjà du coup en prévision de.
Ouais en fait c'était bah ça fait partie de la des techniques en fait euh que je parlais précédemment en fait en gros euh euh les ça existe depuis très longtemps et euh historiquement maintenant en fait quand on crée depuis quand on a introduit la notion de projet euh les API maintenant étaient un projet.
Pas le cas précédemment euh précédemment en fait les API étaient rattachés à des utilisateurs parce que c'est ce qui a été utilisé par euh la console euh pour faire l'écho de la PI. On n'avait pas de notion de JWT euh entre guillemets de de session un peu utilisateur et euh de de d'APIQR entre guillemets plus applicative.
D'impact euh, une personne avec ses stocks.
Ouais c'est ça, c'est un on peut voir ça un peu comme ça. Du coup il y avait que de la donc la était rattachée à l'utilisateur. Et surtout hum un concept un peu technique euh qu'on a introduit avec IAM,
c'est que maintenant en fait euh, précédemment avec une API tu pouvais récupérer des droits euh, dans l'ensemble des organisations dans lesquelles t'étais invité.
Maintenant c'est plus le cas, maintenant on segmente vraiment euh, au niveau de l'organisation,
Que même si toi en tant que contusateur t'es invité dans plusieurs organisations euh, t'en as payé qui euh, elle va être uniquement à une organisation. Tu peux plus te dépasser ce d'organisation même pour le un JWT utilisateur n'aura plus les permissions sur plusieurs euh, organisations,
Donc euh les anciennes APEI euh qui étaient rattachées euh à des utilisateurs qui étaient dans plusieurs organisations.
On a essayé de l'immigrer, celles qu'on pouvait immigrer automatiquement, on les a migrées, en disant, ben en fait, c'était que dans une seule organisation, en fait, on a pu faire les euh on a pu faire les migrations en s'assurant qu'on savait qu'il y avait pas de hum d'effets négatifs,
Par contre euh il y en a plein plein d'API qui en fait on était incapable euh de savoir exactement comment elle a été utilisée entre guillemets si vraiment il y avait des impacts pour l'utilisateur,
et donc on était obligés euh de la faire expirer et que l'utilateur l'a recréé et en fait en la recréant s'occupe de sélectionner un projet pour se dire bah en fait on a payé qui est l'essence pour cela quoi. Donc
vraiment le le le substitut d'un pays qui euh qu'on a pas pu migrer euh parce que les contraintes il y avait trop de contraintes et euh il y avait vraiment une euh une décision entre guillemets business derrière euh associé. On avait pas le choix de les faire exp.
Du coup c'est assez marrant parce que côté utilisateur ça.
Je vais prendre sur un temps large, c'est-à-dire trois ans, ça fait à peu près trois ans que je disais, c'est pas Scaloua, et il y a eu pas mal de de changements au niveau des droits, il y a eu la première étape, le moment, c'était la notion de projet,
avec les après il y a eu la notion du coup de comme disait de rôle globaux, lecture seul, il y avait et il y avait euh.
Ouais c'est ça ouais.
Et euh aujourd'hui on arrive à l'IAM donc on voit vraiment une une gradation et en fait c'est assez marrant parce que les changements euh de l'extérieur si je prends d'un point de vue purement fonctionnel comme je vous ai décrit l'IAM tout à l'heure quand je l'ai testé,
Ben au final c'est entre guillemets d'un point de vue de sept heures, pas énormément de fonctionnalité,
on se rend compte quand même avec le temps, ben moi c'est l'impression que j'ai eu et de la ben du coup ce podcast c'est intéressant parce que ça confirme ce que je pensais, c'est qu'en fait ça a entraîné plein de gros changements structurels derrière,
et même si aujourd'hui ben l'IAM il y a un côté euh c'est cool, ça marche très bien, c'est c'est clairement top mais euh moi je suis resté un peu sur ma fin, sur certaines choses, notamment,
je vais prendre deux trois exemples pour un peu étayer. Euh le fait de pas pouvoir associer en fait des droits directement à des euh.
Ressources, c'est-à-dire par exemple une instance, se dire t'as le droit de tout ce qui est un sens, t'as le droit de contacter du S3, des choses comme ça, sur deux instances profil.
Le faire aussi sur des potes de mémoire euh nativement. Ces choses-là ben ça a un peu manqué, ben Guilhem l'avait dit, il y a le le les d'audits et euh il y a aussi euh il y a deux trois autres petites choses euh notamment euh.
Je l'ai plus en tête, notamment oui, le fait de pouvoir s'authentifier sur euh des services managés avec de l'IM, par exemple sur Cube, je peux m'authentifier dans mon cube c'était la Kayam, des choses comme ça, c'est vrai que c'est des choses que ben j'attends aussi.
Mais là en fait de ce que je comprends moi, de ce que j'ai compris, de ce que je vois,
C'est pour l'instant c'est une très très bonne euh V1, c'est une très bonne progression. Mais c'est vrai que euh on attend plus et je me dis j'ai j'ai l'impression qu'on est on a passé une étape où il y a un gros chantier de fond qui a été abattu et que maintenant en fait du coup on va avoir plus de.
D'espoir d'arriver à des euh des intégrations on va dire rapidement sans devoir un peu euh entre guillemets se dire ah il y a peut-être plein de choses à refacter derrière et cetera donc moi c'est un peu l'impression que j'ai eu c'est on a posé une grosse brique maintenant on va construire au-dessus euh du coup notre notre maison.
C'est un peu ça. Quand tu dis qu'il y a eu beaucoup d'itérations sur cette partie euh,
structure d'une organisation et contrôle des accès, ça correspond à l'histoire de ce qu'elle voulait, donc on a dit hyper rapidement, mais ce qu'elle voulait avant c'était online et c'était pour un développeur, pour des besoins très précis.
Ça n'a jamais été pensé au tout début comme euh un produit pour des grandes entreprises avec beaucoup de personnes et beaucoup de droits différents.
Plus on attend, plus on on ne s'occupe pas de ce sujet d'Access Management, et plus il est difficile à implémenter, on doit rattraper toute la dette qu'on avait.
Le travail des 8 derniers mois c'est avant tout ça, c'est euh, rattraper tout le retard, poser la base des fonctionnalités qui vont répondre.
Quatre-vingt pour cent des besoins de nos utilisateurs, peut-être un peu plus, peut-être un peu moins.
Et ensuite on se met à l'écoute du marché, on voit comment le produit est reçu et on priorise. On a appris en fait sur les derniers mois que les c'était hyper important pour la plupart des utilisateurs. Et du coup on s'y attèle beaucoup en 2020.
En effet, l'intégration dans Cube euh, l'accès euh, la considération d'une ressource comme un principal, comme une identité à laquelle tu peux donner des droits euh, c'est des sujets qu'on imaginait mais on les a pas pris en compte parce que,
l'arbitrage à faire entre est-ce que je sens mon produit tôt avec des fonctionnalités qui vont.
Avoir un arrière-goutte trop peu ou est-ce que je le sors tard mais je rate le coche et finalement ben je perds mes clients parce que il y a pas eu d'accès management de toute façon.
Justement comment ça s'est passé en interne pour euh l'intégration de ce genre de choses? Enfin comment ça s'est fait le projet si jamais on parle plus vraiment d'organisation au sein de Kiloway, votre projet, comment il a été reçu, est-ce qu'il a été créé Exnilo? Est-ce que euh comment comment ça s'est passé justement cette intégration au fur et à mesure euh
nouveau projet, parce que tu l'as dit, il y a une dette. Enfin, Liam, il faut voir que
des boîtes comme AW c'était euh quasiment le premier produit quoi enfin ils en reste trois et après ils ont l'IAM. Donc euh comment ça s'est passé vous l'intégration euh.
L'intégration en fait euh l'avantage c'est que la plupart des concepts qu'on a décidé de qu'on a besoin de migrer était déjà dans dans notre donc finalement en fait euh ça ça simplifiait des choses en termes de de gestion de projet et de communication
déjà en fait au niveau technique on a eu un choix assez tôt c'est-à-dire euh en gros des débris qui gèrent des organisations il y en existe déjà. On aurait pu déjà,
décidé de construire par-dessus.
Donc on aurait pu sortir je pense IAM en deux fois en même temps à mon avis. Euh on a fait le choix en fait de partir sur une brique totalement séparée notamment en fait euh un pour se forcer à tuer la dette technique,
en me disant ben je repars d'une feuille blanche. On a décidé, on aurait pu le construire sur le modèle de données existant, on a décidé de repartir d'une feuille blanche et de se dire ben qu'est-ce qu'on veut pour notre IAM,
en fait on a eu beaucoup de réflexion sur euh en fait voilà on a regardé ce que fait la concurrence hein on va pas se le cacher euh on dit bah qu'est-ce qu'ils font bien, qu'est-ce qui est pas terrible, on est allés voir un peu tout le monde, on s'est dit bon ben qu'est-ce qu'on peut plus chez là, qu'est-ce qui est intéressant.
Quels ont été justement les modèles que vous avez regardés euh le plus? Alors ceux qui vous ont inspiré euh.
Oh bah euh tout sans modèle à WS, GCP euh enfin les les grands euh Azur, on a regardé un peu euh surtout qu'en plus nous on a on a une notion de projet qu'on va pas retrouver chez AWS, du coup ça ça aussi euh on peut pas tout prendre et transcrire tel quel, donc on est obligé un peu de de regarder un peu.
GCP ouais. Mais mais qui est pas la même notion de granularité. Enfin c'est c'est c'est un nous nous c'est pas encore exactement euh enfin on peut pas transcrire tel quel euh enfin c'est le même nom mais on n'a pas les mêmes contraintes associées du coup c'est euh c'est aussi compliqué. Euh mais du coup on a on est parti vraiment d'une feuille blanche sur le modèle de donné.
Ce qui nous a impliqué en fait euh bah énormément justement dans la partie euh des techniques, migration euh ça devrait être on a dû migrer le modèle de données euh qui a été précédemment géré euh par euh micro service actuel, on a vu le migrer euh sur le nouveau,
et donc là c'était énormément parce que le but c'est que on peut pas se dire bah euh je coupe euh pendant deux heures je mixe les données cette année,
Du coup on a dû migrer euh sans coupure de service euh avec de la synchronisation de données à droite à gauche, avec des euh des GRPC pour s'assurer en fait que le modèle de données reste synchronisé dans le temps,
finalement en fait on peut pas euh, parce que d'un côté on a entre guillemets notre modèle euh, un peu historique et de l'autre on a le hum, entre guillemets le même modèle de données mais euh, sous le format IAM donc qui est beaucoup plus compliqué,
une API qui avant était euh était associée à un projet. Du coup, on est obligé de traduire ce concept-là dans IAM, donc on se dit bon okay ben,
on va avoir une autre qui va être rattachée à une application euh cette application-là on va lui donner les droits,
exactement la même qui avait euh exactement les mêmes droites précédemment donc on aurait dû mettre de tout faire mais uniquement sur un projet
En fait on est obligé de transcrire euh une ligne entre guillemets euh dans une base de données en euhdix dans l'autre parce que le modèle de données est plus complexe. Et donc en fait euh l'idée c'était d'assurer que à droite à gauche reste ça reste synchro au fil du temps,
pour euh ben en fait quand on est sûr et certain ben entre guillemets euh appui sur le petit bouton pour se dire ben maintenant au lieu de lire le modèle de donner à gauche ben je vais le lire dans le modèle de donner à droite.
Et euh et je suis sûr que c'est le même modèle de donner et donc euh j'ai aucun changement de comportement, c'est juste que mon modèle est beaucoup plus complexe euh euh à droite quoi.
Vous avez fait des changements technologiques entre les deux? Parce que là tu parles de modèle deux on est quand même très très haut niveau, t'as parlé un tout petit peu de du RPC si jamais on rend, est-ce que vous avez fait des changements technologiques euh de codage, de de de base de données, de.
Hum le alors la base de données c'est euh alors c'est pas la même base base de données mais c'est la même techno on est sur du hum ça va être enfin sur sur le sujet de base de données en fait on on s'est posé la question mais euh et euh genre est-ce qu'on utilise une base de graff euh des choses comme ça euh.
Quand on parle de la gamme oui euh quand on a un modèle de droit, la plupart des temps on va penser grave euh.
Après euh il faut faire aussi un peu hum enfin parce que nous on est euh dans l'équipe on est pas enfin on est huit dans l'équipe euh sur la partie IAM on est à peu près trois développeurs euh temps plein contournés.
Trois développeurs sur 8 mois, c'est ça à peu près euh.
Ouais à peu près, ouais on a trois trois et demi, ça va dépendre euh en gros il y a des personnes qui sont rentrées, d'autres qui sortent euh.
Sur la partie bac après euh un écosystème, à chaque fois on a organisé en équipe, on va avoir une équipe qui va être sur le front, c'est une équipe sur la documentation, une équipe qui va faire le comme on le disait juste avant.
Donc euh trois développeurs concentrés sur ça, mais autour de ça, plein de gens qui travaillent à dix, 20% sur le sujet.
Voilà, mais ils sont pas dédiés, c'est-à-dire que les gens qui travaillent sur le ils sont dédiés sur le mais pas sur.
C'est ça et ils intègrent tous les produits de l'écosystème.
On fait les coups de main sur certains sujets effectivement mais ouais effectivement on est quand je parle trois c'est vraiment dans l'équipe ba
vraiment euh euh du coup on est sur du post gré donc ouais les les bases graves. Euh on a réfléchi euh après en fait faut prendre le hum la hein si on dit euh si on décide de partir sur une techno euh déjà il faut s'assurer que l'équipe la maîtrise.
Ben en fait euh c'est connu, on maîtrise en interne euh on on est quand même sur des problématiques assez sensibles hein parce que derrière euh il y a le toute la la résolution de permission euh diminue seconde en plus, ça veut dire que ben chaque call il y a 10 000 secondes de plus sur le sur le réseau de son éprammission,
c'était quand même sujet euh assez assez sensible
et après en fait qui dit nouvelles techno dit bon ben okay euh il faut s'assurer du cycle de ville euh de l'application, faut gérer les mises à jour euh,
il faut gérer le il faut gérer s'assurer que le back-up marche enfin voilà il y a il y a tout un il y a tout un écosystème autour de contraintes qui sont associées euh nous en interne on on on a la possibilité d'avoir du pose gré facilement on fait.
On a une équipe euh plateforme et euh qui nous permet d'avoir des des des services managers euh pose gré en fait partie
ça nous permet en fait de pas nous préoccuper mais en fait ça rentre forcément en compte dans le choix de la techno euh en se disant ben.
Est-ce qu'on est prêt à rajouter euh du Run sur une nouvelle techno euh qu'on ne maîtrise peut-être pas forcément, en tout cas pas forcément dans les euh dans les détails, dans la précision, par rapport à ce qu'on a besoin. Et en fait, pose gré euh,
globalement en fait ça répondait quand même aux besoins. On en faisant les choses bien euh, un schéma euh, un schéma dans une base de données relationnelle
même pour par rapport à en en passant juste un petit peu de temps juste en faisant les choses correctement, on a quand même réussi même par rapport au modèle de données précédents on on on on résout les passions plus rapidement maintenant alors que le le modèle de donnée est plus.
Plus euh compliqué euh on a quand même enfin les chiffres en tête mais je crois qu'on a descendu le quatre-vingt-dix-neuf personnes de 20 ou 30% quand même. Donc c'est quand même pas négligeable,
juste en fait en passant de temps en temps les choses bien hein donc euh,
je pense que ça peut-être à un moment donné la question se posera si on a des problèmes de volumétrie si vraiment en fait on a des problèmes de performance. À l'heure actuelle c'est pas le cas. Du coup hein on est sur un projet classique qui répond extrêmement bien à nos à nos problématique.
Euh la grosse différence qu'on a eu euh hum c'est côté langage de programmation, la partie historique c'est du piton, on est sur du go maintenant,
Euh pour diverses raisons, notamment je pense c'est plus enfin c'est vraiment par rapport à la par rapport à l'équipe euh par rapport à aux envies de l'équipe euh plus que par euh.
Des questions de performance, même si euh, globalement on remarque que c'est quand même plus rapide et que on a moins de problèmes euh, on on a moins de problèmes euh, sur euh, comment on s'est intégré à l'écosystème,
mais euh mais à part ça on est euh enfin il faut savoir que tous nos micros services en interne c'est du GRPC,
ce qui fait que tout passe par la et en gros on a euh on a une translation de racket reste en rocket GRPC euh, qui est fait automatiquement par l'AP Gate,
Ce qui fait que on consomme nos API euh avec euh des et nous derrière c'est du Rocket GRPC qu'on reçoit en un temps. Euh à part ça on est sur quelque chose de vraiment super simple. Enfin voilà, c'est vraiment euh on n'a pas d'autre euh.
Là je dis c'est vous qui avez codé ou c'est un produit.
Non non, il y a il y a une euh une très belle euh une très belle vidéo YouTube euh fait par euh Jérôme qui était l'équipe actuelle qui explique un peu comment ça marche. Euh globalement en fait euh on pouvait pas se permettre de recoder une fois enfin,
enfin c'est illusoire et euh tout ça pour faire un travail moins bien que que ce qui existe déjà. Euh il y a eu plusieurs euh choix qui ont été envisagés et en fait nous on utilisait euh qui est vraiment vraiment cool.
Qui est un projet euh même euh qui est utilisé par et cetera enfin c'est à la base qui avait été fait par euh euh.
Lift je.
C'est ça exactement euh, donc VTC euh, de base et qui l'a rendu donc euh, projet euh, de euh, de l'autre balanceur en C plus plus euh.
Qui marche très bien et en fait euh, ça.
Qu'avec une enfin en gros globalement dites-vous que c'est un espèce de blog qui fait du mais avec euh, comme configuration que que une EPI.
C'est ça. Et puis il y a plein de briques qu'on peut euh qu'on peut venir greffer. Typiquement on on vient un peu greffer euh notre propre brique de de pareil l'authentification est fait euh directement au niveau des donc euh.
Ready meeting qui fait euh c'est va faire des cônes GRPC à un blog de qui va répondre oui ou non euh voilà tout est tout est enfin au bout du moment vous pouvez pas vraiment configurer direct.
GRPC c'est magnifique, c'est génial euh, du coup nous ça s'intègre super bien dans notre écosystème euh, enfin tout en interne c'est du protocole Microservice euh, on a du Protoboeuf euh, c'est du GRPC partout du coup ça s'intègre super bien
Créateurs et invités
