Article mis en avant

Migration et Nouvelle Plateforme

Le blog est désormais hébergé sur une plateforme wordpress, toutes les archives d’articles seront de nouveau disponibles très bientôt.

L’adresse du blog reste inchangée www.identity-management.fr

Bonne lecture

Comment choisir une solution de réinitialisation des mots de passe en self-service ?

Quel pourcentage d’appels à votre Helpdesk informatique représentent les oublis de mots de passe ?

Aujourd’hui, entre 10% et 40% des appels au Helpdesk concernent des réinitialisations de mots de passe. Même s’il s’agit d‘incidents mineurs, ils représentent malgré tout une faille de sécurité. Par exemple, de quelle façon votre helpdesk vérifie-t-il l’identité d’un appelant qui demande à changer son mot de passe ?

Une solution courante à cette problématique consiste à mettre en place une solution de gestion des mots de passe en self-service, comme par exemple SSRPM (Self-Service Reset Password Manager).

Fonctionnement de la solution de réinitialisation des mots de passe en Self-Service

La solution de gestion des mots de passe en Self-Service fonctionne de la manière suivante :

  1. La solution ajoute un bouton à l’écran de login Windows de vos utilisateurs et leur permet de cliquer sur un bouton ‘mot de passe oublié’ :

ssrpm log in screen

  1. Ensuite, l’utilisateur peut s’identifier grâce à un jeu de questions de sécurité ou à un code PIN envoyé sur un téléphone portable par SMS :

ssrpm wizard

ssrpm sms authentication

  1. L’utilisateur peut ensuite créer son nouveau mot de passe en toute sécurité :

ssrpm aide creation nouveau mot de passe

Avantages d’une solution de réinitialisation des mots de passe en self-service

Voici quelques avantages de ce type de solution :

  • 80% d’appels en moins liés à des problématiques de mot de passe (mot de passe oublié, réinitialisation / changement de mot de passe)
  • Un ROI moyen de 3 mois,
  • Une sécurité accrue,
  • Des utilisateurs plus autonomes.

Quels critères sont à prendre en compte pour un résultat optimal lors du choix d’une solution de réinitialisation des mots de passe en self-service ?

Afin de choisir une solution de gestion des mots de passe optimale pour votre organisation, plusieurs aspects doivent être pris en compte :

1.     La Sécurité :

La réinitialisation des mots de passe étant un point sensible en termes de sécurité informatique, il convient de choisir une solution qui aura été auditée au préalable par une entreprise indépendante en vue de détecter d’éventuelles failles de sécurité. Par exemple, la solution SSRPM de Tools4ever a été auditée par une entreprise de conseil faisant référence dans le domaine de la sécurité informatique, témoignant ainsi du sérieux et de l’objectivité de ses conclusions ci-après :

  • Base de données avec un niveau de cryptage élevé,
  • Interface protégée (captcha pour les interfaces web),
  • Pas d’envoi de mot de passe par email ou par SMS,
  • Blocage automatique de la solution si celle-ci suspecte un robot,
  • etc.

2.     La Convivialité de l’outil et le nombre de scénarios couverts

Un autre aspect à prendre en compte afin d’obtenir de bons résultats et un bon retour sur investissement de votre solution est la fréquence d’utilisation de cette dernière par les utilisateurs finaux.

Pour augmenter la fréquence d’utilisation réelle de la solution, plusieurs aspects sont à retenir :

  • Une interface simple et claire,
  • Une aide à la création du nouveau mot de passe, comme par exemple l’affichage des règles de complexité des mots de passe de façon dynamique pour rendre l’utilisateur autonome sur la création d’un nouveau mot de passe, même complexe.
  • La possibilité de réinitialiser le mot de passe dans différentes situations. En règle générale, plus la solution offrira de possibilités de réinitialiser le mot de passe en fonction de contextes différents et depuis différents types d’appareils (PC portable, tablettes, smartphones …), plus la solution sera utilisée et plus elle sera rentable.
  • La solution SSRPM propose notamment les modules suivants :
    • Intégration dans l’écran de login Windows,
    • Interface web,
    • Intégration dans différents portails web dédiés aux entreprises (par exemple OWA (Outlook Web Access) ou un portail CITRIX,
    • Possibilité d’utiliser la fonctionnalité même si l’utilisateur n’est pas connecté (mode off-line),
    • Possibilité de synchroniser automatiquement le nouveau mot de passe Active Directory avec d’autres applications,
    • Possibilité d’identifier l’appelant au Helpdesk via le portail,
    • Possibilité d’intégrer la solution avec PCM (Password Complexity Manager) permettant d’afficher des règles de complexité de PCM au lieu des règles de complexité standard de l’Active Directory.

3.     Facilité de déploiement et d’utilisation de la solution

La solution doit être facile et rapide à déployer. Par exemple, la mise en place de la solution SSRPM prend en général une journée seulement, sachant qu’ une formation à l’attention de l’administrateur est prévue en parallèle.

Pour toute question sur la gestion des mots de passe en entreprise n’hésitez pas à me contacter via LinkedIn

Paul BAAS

Solution : Gérer les mots de passe AS400 / iSeries / xSeries avec Windows Active Directory…

synchronisation password AD AS400

Problème

Plusieurs de nos clients nous ont sollicité notre expertise  afin d’optimiser la gestion de leurs mots de passe sur les systèmes IBM OS/400 / iSeries / xSeries. Le problème provenait du  fait que le système AS400 gérait les mots de passe Windows, alors que ces clients souhaitaient que ce soit Windows Active Directory qui soit maître pour la gestion des mots de passe AS400.

L’objectif était de dissocier les environnements Windows Active Directory et AS400 qui jusque-là étaient assez interdépendants.

Grâce à notre logiciel PSM (Password synchronisation Manager) et au connecteur AS400 intégré à notre logiciel de provisioning, nous avons pu réaliser cet ajustement et permettre ainsi à nos  clients d’atteindre leur objectif.

Résultats :

Désormais PSM détecte le changement d’un mot de passe au niveau de l’Active Directory et synchronise les systèmes AS400 avec le nouveau mot de passe pour l’utilisateur AS400 en question.

De ce fait, les environnements Windows et AS400 sont moins interdépendants (ce n’est plus l’AS400 qui pilote les mots de passe Windows), et l’utilisateur final n’a plus différents mots de passe à retenir et à gérer.

Synchro mot de passe AD et AS400

Effort :

Notre Consultant IAM a réussi à mettre en place cette solution en une journée seulement sur un environnement  comprenant 2000 utilisateurs. Cette journée inclut :

  • L’Installation du logiciel PSM (Password Synchronisation Manager),
  • La configuration de la synchronisation AD avec AS400,
  • Les Tests et la validation par le consultant.

Le client a rapidement validé le fonctionnement sur quelques utilisateurs avant de l’activer pour l’ensemble des utilisateurs finaux.

Options :

      • La solution PSM (Password Synchronisation Manager) peut également couvrir d’autres systèmes et synchroniser les mots de passe AD avec Oracle, SAP, Lotus Notes, SQL, et tout autre système permettant une gestion des mot de passe par une solution tierce (par API, Webservice, XML, script ou ODBC, etc)
      • Il est également possible de mettre en place une authentification unique grâce à notre solution SSO (Enterprise SSO Manager et WebSSO) de Tools4ever
      • Dans le cas où les règles de complexité de mot de passe ne seraient pas les mêmes d’un système ou d’une application à une autre, la stratégie de complexité des mots de passe pourrait être gérée avec PCM (Password Complexity Manager)
      • Self-Service des mots de passe (via une page web ou intégré dans la page de connexion windows

En savoir plus? Contactez-nous

Déployer le Single Sign-On sans modifier le schéma Active Directory et sans installer de connecteurs LDAP !!!

En ma qualité d’expert en Gestion des Identités et des Accès pour le compte de Tools4ever, je suis régulièrement amené à rencontrer des Directeurs informatiques et des administrateurs système qui pensent que le déploiement d’un outil de Single Sign-On est incroyablement complexe et requiert une intégration technique lourde.

Voici quelques exemples d’idées répandues sur le Single Sign-On et qui ne sont plus vraies  aujourd’hui :

1/ Pour activer le SSO, je suis obligé de reconfigurer une partie de l’ensemble de mes applications, en installant par exemple un connecteur LDAP pour relier la gestion des applicatifs à l’Active Directory ou en procédant à toute autre modification au niveau applicatif.

Faux : Le recours à certaines solutions de Single Sign-On dédiées aux entreprises, telle que la solution E-SSOM développée par Tools4ever, il n’est désormais plus nécessaire de modifier les  applications, ce qui permet d’une part de gagner un temps précieux (temps passé à attendre les éditeurs de logiciels) et d’autre part de ne pas être intrusif.

 

2/ Je suis obligé de créer un annuaire LDAP distinct pour référencer l’ensemble de mes applications et utilisateurs, et je n’aurai accès au SSO qu’une fois que ces informations auront été rapprochées.

Faux : En dépit du fait qu’il s’agisse d’une méthode utilisée par certains fournisseurs de solutions de SSO, tels que CAS et bien que cela puisse présenter certains avantages, cela ne constitue désormais plus un prérequis si vous souhaitez uniquement mettre en place une solution de Single Sign-On sécurisée et ergonomique au sein de votre entreprise.

3/ Pour pouvoir utiliser l’Active Directory comme source d’authentification principale pour le SSO, je suis obligé d’étendre le schéma de l’Active Directory.

Faux : Bien que plusieurs solutions actuellement proposées sur le marché du SSO requièrent de modifier la structure de l’active directory ou de procéder à toute autre action de ce type, la plupart des entreprises se montreront réticentes quant à effectuer ce type de modification, du fait de leur impact considérable et de leurs conséquences souvent irréversibles. Or certaines solutions de SSO, telle que E-SSOM, ne nécessitent pas de modification de la nomenclature dans l’Active Directory pour fonctionner. Clairement, aucune modification de l’Active directory n’est nécessaire pour activer notre solution de SSO.

Pour plus d’informations sur la solution E-SSOM (Enterprise Single Sign On Manager) développée par  Tools4ever, cliquez ici,

Utiliser une interface web simple et intuitive afin de gérer les comptes utilisateurs dans Active Directory et d’autres systèmes/applications

Utiliser l’interface administrateur d’Active Directory afin de gérer les comptes utilisateurs et les droits d’accès présente de nombreux désavantages, comme par exemple :

  • Sécurité : les utilisateurs doivent être connectés avec des droits administrateurs et généralement les droits administrateur de domaine.
  • L’interface native d’Active Directory Utilisateurs et Ordinateurs que Microsoft propose n’est pas très intuitive : un grand nombre d’onglet à parcourir, d’attributs à gérer et de clics à effectuer rendent le processus sujet aux erreurs et aux oublis.
  • Le respect des standards comme la nomenclature interne ou les profils de gestion de groupes est très complexe à contrôler dès lors que la création, modification ou désactivation de comptes sont effectuées par plusieurs personnes.
  • Temps : créer, modifier et nettoyer les comptes au sein d’active directory prend un temps considérable du fait que bon nombre d’actions sont réalisées manuellement.
  • Ressources : gérer les comptes utilisateurs Active Directory n’est pas le travail le plus passionnant, les tâches sont répétitives et le plus souvent effectuées par des administrateurs senior à cause des niveaux de droits requis.

Mettre en place une interface web simple et intuitive pour la gestion des utilisateurs Active Directory

Avec un outil comme UMRA, il est possible de mettre en place une interface web pour gérer les comptes utilisateurs et les droits d’accès au sein d’Active Directory et d’autres systèmes/applications comme Lotus Notes, AS400, SAP, Office 365, Google Apps etc…

Une telle interface peut être installée et paramétrée aux besoins du client en 2 à 3 jours.

Les avantages sont les suivants :

Une interface simple qui permet à n’importe qui, et ce sans la moindre connaissance d’Active Directory, de créer, modifier et désactiver des comptes utilisateurs.

Sécurité : Aucun besoin de donner les droits administrateurs pour déléguer des tâches spécifiques

Respect de vos standards : la nomenclature et la gestion des attributs d’Active Directory sont automatiques et garantis. L’interface ne nécessite que le nom et le prénom de l’utilisateur ainsi qu’un ou deux champs à sélectionner. Les standards et les règles sont configurés dans les outils en amont de telle sorte qu’ils sont automatiquement respectés.

Temps : tout cela génère du temps libre pour les administrateurs senior et rend la gestion des utilisateurs dix fois plus rapide et plus efficace.
Possibilité d’ajouter des étapes de validation dans le workflow, et même de déléguer la gestion des utilisateurs aux chefs de services.

L’interface web d’UMRA pour Active Directory permet aussi de gérer les comptes non Active Directory comme par exemple AS400, SAP, Lotus Notes, Google Apps, Office 365, Salesforce etc…

Si vous désirez voir l’efficacité et la simplicité de l’interface web pour Active Directory dans votre organisation, contactez simplement le bureau Tools4ever le plus proche et demandez une démonstration.

Optimiser la Gestion des Groupes de Sécurité Active Directory avec des outils

Votre réseau et votre organisation prenant de plus en plus d’ampleur, le nombre de groupes de sécurité Active Directory augmente sensiblement. Au fil du temps, il n’est donc pas rare de voir ces groupes devenir plus compliqués à gérer pour le service informatique.

UMRA (User Management Resource Administrator) offre un large éventail de possibilités pour simplifier et optimiser la gestion des groupes, peu importe que ceux-ci contrôlent les accès aux applications, les listes de distribution, l’accès aux partitions réseaux ou autres…

Quelques possibilités offertes par notre outil :

Délégation de la gestion de groupes
Une des principales fonctionnalités d’UMRA Web Interface est la gestion de groupes. Elle est offerte à des utilisateurs non-techniques (non-administrateurs) comme par exemple le personnel du Helpdesk ou des utilisateurs ne possédant pas les droits sur l’Active Directory, le tout s’effectuant grâce à une interface web simple et intuitive (voire image). Il est alors possible de voir tous les membres d’un groupe d’un seul coup, d’ajouter ou d’enlever plusieurs utilisateurs d’un simple clic ou même de sélectionner un utilisateur afin d’afficher ou de modifier son appartenance à des groupes en quelques secondes. De nouveaux groupes peuvent aussi être créés et gérés à la volé.

Self-Service et Workflow avec validation par le responsable du groupe de sécurité
Il devrait être possible pour le responsable d’un groupe d’ajouter ou d’enlever des utilisateurs directement, certains groupes nécessitant une validation par le responsable du groupe AD spécifique. Tout ceci est possible avec UMRA par un processus simple de validation automatique (voir image). Le responsable du groupe de sécurité reçoit une notification par e-mail avec un lien lui permettant de voir immédiatement la requête et de la valider (ou non) en un clic.
Cela s’avère particulièrement utile dans le cadre, par exemple, d’une délégation de la gestion de certains groupes aux managers, et peut être mis en place pour fournir un processus de requêtes d’accès en Self-Service aux utilisateurs.

Gestion de groupes automatisée
Une troisième possibilité revient à gérer automatiquement les groupes Active Directory en accord avec les paramètres du compte AD comme le lieu, le département, l’intitulé du poste de l’utilisateur ou des rôles spécifiques.

Pour plus d’informations sur la gestion des groupes active directory avec UMRA, contactez le bureau Tools4ever le plus proche.

Implémenter le Single Sign On / Authentification Unique avec SAP

La suite SAP ERP est un système ERP pour toute l’entreprise comprenant de nombreux modules et une multitude de méthodes d’authentification possibles. Dans bon nombre d’organisations, les utilisateurs se connectent à SAP en utilisant différentes méthodes et identifiants. Par exemple, les utilisateurs peuvent se connecter via SAP GUI, via Business Objects for SAP, via une connexion Excel comme SAP Bex et même via Powerpoint (fichiers PPT). Beaucoup d’entreprise possèdent aussi des versions différentes de SAP (version 6 ou 7).

Un bon nombre d’organisations tendent à simplifier le processus d’authentification pour SAP grâce au Single Sign On. Mais ce n’est pas toujours chose aisée, et plus particulièrement si une partie des modules et des interfaces de SAP ne sont pas liés à Active Directory.

Chez Tools4ever, nous sommes spécialisés dans l’implémentation du Single Sign On pour les entreprises. Nous avons une forte expérience dans l’implémentation de l’authentification unique pour SAP sans avoir à modifier l’environnement SAP et en général, 2 à 3 jours d’interventions sont suffisants pour couvrir toutes vos connexions et instances SAP. Le Single Sign On pour SAP est configuré à partir d’E-SSOM (Enterprise SSO Manager) et permet aux utilisateurs de se connecter automatiquement toutes leurs instances SAP après s’être authentifié.

Des études de cas d’implémentations de Single Sign On sont disponibles ici (lire les études de cas pour Truffaut et SGD).

Pour plus d’informations sur E-SSOM et le Single Sign On pour SAP, contactez votre bureau Tools4ever le plus proche.

Comment les utilisateurs peuvent-ils se connecter à une application via Active Directory et sans connecteur LDAP ?

Q : Est-il possible d’appliquer une politique de complexité de mot de passe sur des applications qui ne le supportent pas ? Et sans connecteur LDAP pointant vers l’Active Directory pour l’authentification ?

R : Il s’agit d’un des nombreux problèmes rencontrés dans le processus de gestion des mots de passe, les plus vieux systèmes ayant pour la plupart des stratégies de complexité de mots passe obsolètes voire inexistantes. De surcroit, le connecteur LDAP n’est pas forcement disponible et l’application peut se trouver dans l’impossibilité de demander des mots de passe complexes aux utilisateurs.

Notre solution de gestion de mots de passe E-SSOM vous offre trois manières différentes de résoudre cette problématique :
1.Il est possible de laisser l’utilisateur se ré-authentifier à l’Active Directory dès qu’il tente de se connecter à une de ses applications en utilisant E-SSOM. Au lieu de demander les identifiants pour l’application, l’utilisateur s’authentifie simplement sur l’AD et est automatiquement connecté à son application. Un processus simple, augmentant la sécurité sans accroître le nombre de mots de passe complexes que l’utilisateur doit retenir, et ne nécessitant aucun connecteur LDAP.

2.E-SSOM peut aussi forcer l’utilisateur à se créer un mot de passe pour sa prochaine connexion et d’y appliquer des stratégies de complexité même si l’application ne le permet pas. Cette solution peut être implémentée de manière à ce que l’utilisateur soit connecté automatiquement à l’application (plus de mots de passe complexes à retenir), les mots de passe restant complexes et surs au sein de l’application.

3.E-SSOM peut aussi générer des mots de passe complexes et aléatoires, dans la limite des possibilités offerte par l’application. Cette solution est complétement transparente pour l’utilisateur qui n’a qu’à cliquer sur l’application pour qu’E-SSOM complexifie son mot de passe. Il se connecte par la suite de manière automatique tout en gardant la complexité de son mot de passe dans l’application.

Il existe beaucoup d’autres cas dans lesquels la gestion des mots de passe combinée aux solutions de Single Sign On permet d’augmenter significativement le niveau de sécurité, sans surcharger les utilisateurs avec des mots de passe complexes. Les consultants techniques de Tools4ever sont des experts sur la question de la Gestion des Accès et des Identités et peuvent vous aider à trouver la solution adéquate.

Les Mairies Europeennes utilisent UMRA pour la gestion de leur Active Directory

En utilisant un outil de délégation, les services informatiques des Mairies Européennes gagnent beaucoup en temps, efficacité et sécurité…

J’ai travaillé avec des dizaines de mairies Européenne et les Responsables Informatique (DSI) sont en général d’accord sur le fait que la gestion des comptes utilisateurs avec les outils natifs de Microsoft pose des problèmes. Surtout à partir d’un nombre d’utilisateurs au dessus de 300. Les  7 problèmes les plus fréquemment rencontrés chez les Mairies Européennes sont  :

 

  •     La gestion des comptes utilisateurs et la gestion des accès prend beaucoup de temps (création, changements de compte/accès, désactivation, stagiaires, comptes ou accès temporaires etc.)
  •     Tout le monde Administrateur ! par manque d’un système de délégation convenable la gestion d’Active Directory doit être faite avec un compte administrateur, les DSI des Mairies déplorent souvent le fait que trop de personnes aient besoin du mot de passe administrateur.
  •     La gestion manuelle est cause d’erreurs, délais, ou comptes non conformes à la politique de la Mairie (politique de nommage, politique de sécurité)
  •     Beaucoup de collaborateurs ont plus d’accès autorisés qu’ils n’en ont besoin (problèmes de sécurité, coûts de licences), parfois même lorsque la personne a déjà quitté la Mairie
  •     Insatisfaction des clients en interne à cause des délais/erreurs.
  •     Chaque utilisateur doit être créé parfois manuellement sur plusieurs systèmes, bases de données et annuaires…: Active Directory, LDAP, Oracle/SQL, autres systèmes
  •     Il n’est souvent pas possible de faire du reporting pertinent sur les accès. La question ‘qui a droit où?’ se pose fréquemment. Pouvoir y répondre correctement est rare.

La Solution qu’utilisent les Mairies Europeennes
En utilisant un outil comme UMRA (User Management Resource Administrator), de Tools4ever, les Mairies Européennes ont réalisées en quelques jours des grands résultats. En effet, il est possible de déléguer toute tâche au niveau de l’Active Directory (ou autre annuaire /base de données) d’une manière sécurisé sans que la personne ait besoin d’un compte administrateur ou des compétences informatiques particulières. Ainsi la délégation peut se faire aux différents niveaux, selon la stratégie de la DSI de la Mairie et la maturité en matière d’Identity Management.

Où Déléguer ?
– Au niveau informatique vers le support niveau 0 ou 1. Résultats : gestion rapide et standardisée, sans besoin de compte administrateur ou des compétences Active Directory.
– Au niveau du service RH (en général c’est le service RH qui est informé de l’arrivée ou le départ d’un collaborateur avant le service informatique) Il y a également la possibilité de lier UMRA directement au SIRH (système d’informations RH), pour que les comptes utilisateurs et accès soient gérés en temps-réel avec le moins d’effort manuel possible. Ceci évite aussi la saisi en double des données.
– Au niveau des Chefs des Services. Le chef de service sait exactement quand un nouveau collaborateur arrive et de quoi il a besoin (ressources, répertoires, applications) pour faire son travail, et est le premier à savoir quand la personne quitte la Mairie.

Fonctionnement
La solution que beaucoup de Mairies utilisent est basé sur d’une coté des formulaires électroniques (demande de création de compte, changement de compte/droits, désactivation de compte, reset de mot de passe, reporting etc.) et, d’une autre coté, des scénarios UMRA etc tout cela en fonction de la politique et stratégie de la Mairie. Par exemple le scenario de ‘création de compte’ peut consister en la création d’un compte Active Directory avec, adresse email, homedrive, certain droits/groupes Active Directory etc tous selon la politique de nommage (standards) et de sécurité (qui a droit à quoi?) de la Mairie.
Les formulaires UMRA déclenchent des scénarios UMRA qui sont exécutés par le Service UMRA, dans Active Directory, Exchange, NTFS ou d’autres systèmes encore.

Les Mairies rencontrent les problèmes cités au dessus ne doivent pas attendre qu’un miracle se passe, pour gérer leurs comptes utilisateurs d’une manière performante, sécurisée, tout en augmentant le service aux clients interne, selon des procédures modèles. La mise en œuvre d’UMRA pour une Mairie prends quelques jours grâce à l’expérience de Tools4ever avec des implémentations pour des mairies allant de formulaires de délégation simples, jusqu’aux workflows complets avec système de gestion d’identité et d’accès complet.

N’hésitez pas à revenir vers moi si vous désirez en savoir plus sur ce sujet. Je suis joignable par téléphone chez Tools4ever au 01 53 43 29 55 ou par email à p.baas@tools4ever.com .

Gestion automatique des comptes utilisateurs à partir d’un SIRH

J’ai animé un atelier de travail au Pays-Bas il y a quelques mois par rapport à la gestion des identités et des accès. La première partie de l’atelier était centrée sur une étude de cas d’identity management pour une organisation dans le secteur de la santé, présentée par un de nos clients…

La deuxième partie de l’atelier consistait en une session interactive dans laquelle je répondais à différentes questions par rapport à la gestion d’identités. Dans cet article j’aimerais revenir sur un des sujets traités car, il y’eu un grand intérêt de la part de l’auditorium pour ce thème.

La question redondante était ‘Quels sont les conditions à remplir avant d’implémenter un auto-provisioning à partir d’un SIRH ?’ comme par exemple SAP HR, Peoplesoft, Sage, HR Access, Sigma-RH, Cegid etc.

Qu’est-ce qu’un connecteur d’auto-provisioning avec un SIRH ?
Il s’agit d’un connecteur qui détecte chaque changement dans le système RH, et gère ensuite les impacts de ces modifications dans le réseau informatique. Par exemple : un nouveau collaborateur intègre l’organisation et le service RH le saisit dans le système RH (par exemple Peoplesoft). Le système RH contient les noms et l’adresse de l’employée, mais aussi la date d’embauche, le type de contrat, le service ou il va travailler, le salaire etc. Quand le lien avec le Système RH détecte le changement, le compte utilisateur est créé dans le réseau informatique. Ainsi, le nouveau collaborateur peut dès son premier jour de travail se connecter au réseau, envoyer des emails, et accéder aux répertoires et applications de son service. Le même type de modification peut être effectué par rapport au changement de service, de poste, ou de lieu de travail.

Enfin, un compte utilisateur peut aussi être désactivé (ou démonter) ce qu’on appelle ‘de-provisioning’.

Les exigences du système RH
Quels sont maintenant les exigences pour intégrer avec succès un outil de provisioning avec un système RH? Il est clair que l’auto-provisioning a beaucoup d’avantages pour le service informatique : tout le processus de gestion de compte utilisateur peut quasiment être effectué automatiquement sur la base d’une source de confiance. C’est cette dernière qui contient les informations essentielles comme le salaire et, est gérée avec beaucoup de précision par le service RH, qui doit être bien organisé au niveau administratif.

A cause de ces avantages immédiats pour le service informatique et par rapport à la sécurité (les comptes des utilisateurs qui partent sont automatiquement désactivés) on oublie souvent les conditions suivantes :

Le moment de création
Un compte utilisateur doit être créé et être disponible des le premier jour de travail du collaborateur. C’est souvent le premier jour du mois. Bien que pour un système RH, les nouveaux collaborateurs soient souvent saisis dans le système plus tard, par exemple au 15 du mois, juste avant la production des salaires. Si c’est le cas, il est important que les procédures/façon de travailler du service des Ressources Humaines soient adaptées avant qu’un lien automatique de provisioning soit mis en place.

Il va sans dire que cela peut poser toute sortes de problèmes voir réticences du service DRH…

Exhaustivité
Pour tous les comptes utilisateurs dans le réseau, un contrat doit être présent dans le SIRH. Ceci n’est souvent pas le cas, surtout s’il s’agit de gens de l’extérieur (freelance, agences d’emploi etc. Ce type de collaborateur n’est souvent pas géré dans le SIRH car il n’y a pas d’obligation légale de le faire, et le salaire n’est pas payé et géré de la même manière que pour un collaborateur régulier.

Un détail intéressant est que ce groupe de personnes est souvent la cause de la plus grande parti des mutations/changements dans le réseau.

Il est rare qu’après avoir établi un lien avec le SIRH ce genre de personnes soit saisit dans le SIRH. L’investissement en temps et en effort pour enregistrer ces personnes comme des collaborateurs ne vaut souvent pas la peine pour des ‘temporaires’.

Pour des collaborateurs temporaires il faut alors une alternative. On conseille souvent de créer un formulaire électronique ou portail web qui permet au chef de service ou leurs assistants de gérer eux-mêmes les comptes de ces collaborateurs.

Hors du problème des collaborateurs temporaires l’exhaustivité au niveau du SIRH se joue aussi par rapport à :

1) champ numéro de sécurité sociale. Ce champ est le plus pratique pour l’identification unique entre le collaborateur dans le SIRH et le système de gestion de comptes utilisateurs dans le réseau (par exemple Active Directory, E Directory, LDAP etc.). Si le numéro de sécurité social n’est pas disponible pour tous les collaborateurs dans le système RH, l’identification devient plus difficile…

2) la relation collaborateur :: service :: chef de service, est importante aussi. Souvent la relation entre collaborateur et service est présente mais la relation entre ‘service’ et le chef de ce service n’est pas toujours gérée dans le SIRH.

Avec la relation collaborateur :: service :: chef de service il est possible d’automatiser beaucoup de tâches/activités par rapport à la gestion de comptes utilisateurs, par exemple :

Notification d’un nouveau collaborateur à son chef, notification et traitement du départ d’un collaborateur (désactivation de compte en plusieurs étapes dans le temps…) informer le manager sur les droits/applications des gens qui travaillent dans son service, etc.

Pertinence
En général les collaborateurs se font moins de soucis pour une erreur sur leur nom sur leur fiche de paie, que sur un nom incorrect dans le nom affiché dans un email. Un nom incorrect (par exemple nom de jeune fille au lieu de nom de partenaire) dans la liste des emails provoque immédiatement une demande de changement par l’employée. La pertinence des données dans la base RH devient donc primordial…
Volonté
Mettre en œuvre un lien avec le SIRH demande plus de la saissi des collaborateurs dans le système. Souvent le service RH ne se rend pas toute de suite compte de ce changement, mais une (petite) partie des appels au helpdesk se transfère maintenant au service RH. La raison d’un adresse email avec une faute d’orthographe n’est plus le résultat d’une mauvaise saisie de la part du service informatique mais d’une erreur de frappe du service RH. Grace au lien automatique le collaborateur doit alors contacter le Service RH au lieu du service informatique s’il veut que le changement soit fait. Puisque le système RH est maintenant ‘la source’ des informations correctes ou incorrectes…

Peut être ces différents points doivent être considérés dans le processus de mise en œuvre d’un tel lien. Faites attention, il s’agit juste d’une liste non exhaustive et il peut y avoir beaucoup de situations spécifiques pour l’organisation en question, pouvant être résolu de manières différentes.

N’hésitez pas à revenir vers moi si vous désirez en savoir plus sur ce sujet. Je suis joignable par téléphone chez Tools4ever au 01 53 43 29 55 ou par email à p.baas@tools4ever.com