Archives pour la catégorie Gestion des Identités

Utiliser une interface web simple et intuitive afin de gérer les comptes utilisateurs dans Active Directory et d’autres systèmes/applications

Utiliser l’interface administrateur d’Active Directory afin de gérer les comptes utilisateurs et les droits d’accès présente de nombreux désavantages, comme par exemple :

  • Sécurité : les utilisateurs doivent être connectés avec des droits administrateurs et généralement les droits administrateur de domaine.
  • L’interface native d’Active Directory Utilisateurs et Ordinateurs que Microsoft propose n’est pas très intuitive : un grand nombre d’onglet à parcourir, d’attributs à gérer et de clics à effectuer rendent le processus sujet aux erreurs et aux oublis.
  • Le respect des standards comme la nomenclature interne ou les profils de gestion de groupes est très complexe à contrôler dès lors que la création, modification ou désactivation de comptes sont effectuées par plusieurs personnes.
  • Temps : créer, modifier et nettoyer les comptes au sein d’active directory prend un temps considérable du fait que bon nombre d’actions sont réalisées manuellement.
  • Ressources : gérer les comptes utilisateurs Active Directory n’est pas le travail le plus passionnant, les tâches sont répétitives et le plus souvent effectuées par des administrateurs senior à cause des niveaux de droits requis.

Mettre en place une interface web simple et intuitive pour la gestion des utilisateurs Active Directory

Avec un outil comme UMRA, il est possible de mettre en place une interface web pour gérer les comptes utilisateurs et les droits d’accès au sein d’Active Directory et d’autres systèmes/applications comme Lotus Notes, AS400, SAP, Office 365, Google Apps etc…

Une telle interface peut être installée et paramétrée aux besoins du client en 2 à 3 jours.

Les avantages sont les suivants :

Une interface simple qui permet à n’importe qui, et ce sans la moindre connaissance d’Active Directory, de créer, modifier et désactiver des comptes utilisateurs.

Sécurité : Aucun besoin de donner les droits administrateurs pour déléguer des tâches spécifiques

Respect de vos standards : la nomenclature et la gestion des attributs d’Active Directory sont automatiques et garantis. L’interface ne nécessite que le nom et le prénom de l’utilisateur ainsi qu’un ou deux champs à sélectionner. Les standards et les règles sont configurés dans les outils en amont de telle sorte qu’ils sont automatiquement respectés.

Temps : tout cela génère du temps libre pour les administrateurs senior et rend la gestion des utilisateurs dix fois plus rapide et plus efficace.
Possibilité d’ajouter des étapes de validation dans le workflow, et même de déléguer la gestion des utilisateurs aux chefs de services.

L’interface web d’UMRA pour Active Directory permet aussi de gérer les comptes non Active Directory comme par exemple AS400, SAP, Lotus Notes, Google Apps, Office 365, Salesforce etc…

Si vous désirez voir l’efficacité et la simplicité de l’interface web pour Active Directory dans votre organisation, contactez simplement le bureau Tools4ever le plus proche et demandez une démonstration.

Optimiser la Gestion des Groupes de Sécurité Active Directory avec des outils

Votre réseau et votre organisation prenant de plus en plus d’ampleur, le nombre de groupes de sécurité Active Directory augmente sensiblement. Au fil du temps, il n’est donc pas rare de voir ces groupes devenir plus compliqués à gérer pour le service informatique.

UMRA (User Management Resource Administrator) offre un large éventail de possibilités pour simplifier et optimiser la gestion des groupes, peu importe que ceux-ci contrôlent les accès aux applications, les listes de distribution, l’accès aux partitions réseaux ou autres…

Quelques possibilités offertes par notre outil :

Délégation de la gestion de groupes
Une des principales fonctionnalités d’UMRA Web Interface est la gestion de groupes. Elle est offerte à des utilisateurs non-techniques (non-administrateurs) comme par exemple le personnel du Helpdesk ou des utilisateurs ne possédant pas les droits sur l’Active Directory, le tout s’effectuant grâce à une interface web simple et intuitive (voire image). Il est alors possible de voir tous les membres d’un groupe d’un seul coup, d’ajouter ou d’enlever plusieurs utilisateurs d’un simple clic ou même de sélectionner un utilisateur afin d’afficher ou de modifier son appartenance à des groupes en quelques secondes. De nouveaux groupes peuvent aussi être créés et gérés à la volé.

Self-Service et Workflow avec validation par le responsable du groupe de sécurité
Il devrait être possible pour le responsable d’un groupe d’ajouter ou d’enlever des utilisateurs directement, certains groupes nécessitant une validation par le responsable du groupe AD spécifique. Tout ceci est possible avec UMRA par un processus simple de validation automatique (voir image). Le responsable du groupe de sécurité reçoit une notification par e-mail avec un lien lui permettant de voir immédiatement la requête et de la valider (ou non) en un clic.
Cela s’avère particulièrement utile dans le cadre, par exemple, d’une délégation de la gestion de certains groupes aux managers, et peut être mis en place pour fournir un processus de requêtes d’accès en Self-Service aux utilisateurs.

Gestion de groupes automatisée
Une troisième possibilité revient à gérer automatiquement les groupes Active Directory en accord avec les paramètres du compte AD comme le lieu, le département, l’intitulé du poste de l’utilisateur ou des rôles spécifiques.

Pour plus d’informations sur la gestion des groupes active directory avec UMRA, contactez le bureau Tools4ever le plus proche.

Les Mairies Europeennes utilisent UMRA pour la gestion de leur Active Directory

En utilisant un outil de délégation, les services informatiques des Mairies Européennes gagnent beaucoup en temps, efficacité et sécurité…

J’ai travaillé avec des dizaines de mairies Européenne et les Responsables Informatique (DSI) sont en général d’accord sur le fait que la gestion des comptes utilisateurs avec les outils natifs de Microsoft pose des problèmes. Surtout à partir d’un nombre d’utilisateurs au dessus de 300. Les  7 problèmes les plus fréquemment rencontrés chez les Mairies Européennes sont  :

 

  •     La gestion des comptes utilisateurs et la gestion des accès prend beaucoup de temps (création, changements de compte/accès, désactivation, stagiaires, comptes ou accès temporaires etc.)
  •     Tout le monde Administrateur ! par manque d’un système de délégation convenable la gestion d’Active Directory doit être faite avec un compte administrateur, les DSI des Mairies déplorent souvent le fait que trop de personnes aient besoin du mot de passe administrateur.
  •     La gestion manuelle est cause d’erreurs, délais, ou comptes non conformes à la politique de la Mairie (politique de nommage, politique de sécurité)
  •     Beaucoup de collaborateurs ont plus d’accès autorisés qu’ils n’en ont besoin (problèmes de sécurité, coûts de licences), parfois même lorsque la personne a déjà quitté la Mairie
  •     Insatisfaction des clients en interne à cause des délais/erreurs.
  •     Chaque utilisateur doit être créé parfois manuellement sur plusieurs systèmes, bases de données et annuaires…: Active Directory, LDAP, Oracle/SQL, autres systèmes
  •     Il n’est souvent pas possible de faire du reporting pertinent sur les accès. La question ‘qui a droit où?’ se pose fréquemment. Pouvoir y répondre correctement est rare.

La Solution qu’utilisent les Mairies Europeennes
En utilisant un outil comme UMRA (User Management Resource Administrator), de Tools4ever, les Mairies Européennes ont réalisées en quelques jours des grands résultats. En effet, il est possible de déléguer toute tâche au niveau de l’Active Directory (ou autre annuaire /base de données) d’une manière sécurisé sans que la personne ait besoin d’un compte administrateur ou des compétences informatiques particulières. Ainsi la délégation peut se faire aux différents niveaux, selon la stratégie de la DSI de la Mairie et la maturité en matière d’Identity Management.

Où Déléguer ?
– Au niveau informatique vers le support niveau 0 ou 1. Résultats : gestion rapide et standardisée, sans besoin de compte administrateur ou des compétences Active Directory.
– Au niveau du service RH (en général c’est le service RH qui est informé de l’arrivée ou le départ d’un collaborateur avant le service informatique) Il y a également la possibilité de lier UMRA directement au SIRH (système d’informations RH), pour que les comptes utilisateurs et accès soient gérés en temps-réel avec le moins d’effort manuel possible. Ceci évite aussi la saisi en double des données.
– Au niveau des Chefs des Services. Le chef de service sait exactement quand un nouveau collaborateur arrive et de quoi il a besoin (ressources, répertoires, applications) pour faire son travail, et est le premier à savoir quand la personne quitte la Mairie.

Fonctionnement
La solution que beaucoup de Mairies utilisent est basé sur d’une coté des formulaires électroniques (demande de création de compte, changement de compte/droits, désactivation de compte, reset de mot de passe, reporting etc.) et, d’une autre coté, des scénarios UMRA etc tout cela en fonction de la politique et stratégie de la Mairie. Par exemple le scenario de ‘création de compte’ peut consister en la création d’un compte Active Directory avec, adresse email, homedrive, certain droits/groupes Active Directory etc tous selon la politique de nommage (standards) et de sécurité (qui a droit à quoi?) de la Mairie.
Les formulaires UMRA déclenchent des scénarios UMRA qui sont exécutés par le Service UMRA, dans Active Directory, Exchange, NTFS ou d’autres systèmes encore.

Les Mairies rencontrent les problèmes cités au dessus ne doivent pas attendre qu’un miracle se passe, pour gérer leurs comptes utilisateurs d’une manière performante, sécurisée, tout en augmentant le service aux clients interne, selon des procédures modèles. La mise en œuvre d’UMRA pour une Mairie prends quelques jours grâce à l’expérience de Tools4ever avec des implémentations pour des mairies allant de formulaires de délégation simples, jusqu’aux workflows complets avec système de gestion d’identité et d’accès complet.

N’hésitez pas à revenir vers moi si vous désirez en savoir plus sur ce sujet. Je suis joignable par téléphone chez Tools4ever au 01 53 43 29 55 ou par email à p.baas@tools4ever.com .

Gestion automatique des comptes utilisateurs à partir d’un SIRH

J’ai animé un atelier de travail au Pays-Bas il y a quelques mois par rapport à la gestion des identités et des accès. La première partie de l’atelier était centrée sur une étude de cas d’identity management pour une organisation dans le secteur de la santé, présentée par un de nos clients…

La deuxième partie de l’atelier consistait en une session interactive dans laquelle je répondais à différentes questions par rapport à la gestion d’identités. Dans cet article j’aimerais revenir sur un des sujets traités car, il y’eu un grand intérêt de la part de l’auditorium pour ce thème.

La question redondante était ‘Quels sont les conditions à remplir avant d’implémenter un auto-provisioning à partir d’un SIRH ?’ comme par exemple SAP HR, Peoplesoft, Sage, HR Access, Sigma-RH, Cegid etc.

Qu’est-ce qu’un connecteur d’auto-provisioning avec un SIRH ?
Il s’agit d’un connecteur qui détecte chaque changement dans le système RH, et gère ensuite les impacts de ces modifications dans le réseau informatique. Par exemple : un nouveau collaborateur intègre l’organisation et le service RH le saisit dans le système RH (par exemple Peoplesoft). Le système RH contient les noms et l’adresse de l’employée, mais aussi la date d’embauche, le type de contrat, le service ou il va travailler, le salaire etc. Quand le lien avec le Système RH détecte le changement, le compte utilisateur est créé dans le réseau informatique. Ainsi, le nouveau collaborateur peut dès son premier jour de travail se connecter au réseau, envoyer des emails, et accéder aux répertoires et applications de son service. Le même type de modification peut être effectué par rapport au changement de service, de poste, ou de lieu de travail.

Enfin, un compte utilisateur peut aussi être désactivé (ou démonter) ce qu’on appelle ‘de-provisioning’.

Les exigences du système RH
Quels sont maintenant les exigences pour intégrer avec succès un outil de provisioning avec un système RH? Il est clair que l’auto-provisioning a beaucoup d’avantages pour le service informatique : tout le processus de gestion de compte utilisateur peut quasiment être effectué automatiquement sur la base d’une source de confiance. C’est cette dernière qui contient les informations essentielles comme le salaire et, est gérée avec beaucoup de précision par le service RH, qui doit être bien organisé au niveau administratif.

A cause de ces avantages immédiats pour le service informatique et par rapport à la sécurité (les comptes des utilisateurs qui partent sont automatiquement désactivés) on oublie souvent les conditions suivantes :

Le moment de création
Un compte utilisateur doit être créé et être disponible des le premier jour de travail du collaborateur. C’est souvent le premier jour du mois. Bien que pour un système RH, les nouveaux collaborateurs soient souvent saisis dans le système plus tard, par exemple au 15 du mois, juste avant la production des salaires. Si c’est le cas, il est important que les procédures/façon de travailler du service des Ressources Humaines soient adaptées avant qu’un lien automatique de provisioning soit mis en place.

Il va sans dire que cela peut poser toute sortes de problèmes voir réticences du service DRH…

Exhaustivité
Pour tous les comptes utilisateurs dans le réseau, un contrat doit être présent dans le SIRH. Ceci n’est souvent pas le cas, surtout s’il s’agit de gens de l’extérieur (freelance, agences d’emploi etc. Ce type de collaborateur n’est souvent pas géré dans le SIRH car il n’y a pas d’obligation légale de le faire, et le salaire n’est pas payé et géré de la même manière que pour un collaborateur régulier.

Un détail intéressant est que ce groupe de personnes est souvent la cause de la plus grande parti des mutations/changements dans le réseau.

Il est rare qu’après avoir établi un lien avec le SIRH ce genre de personnes soit saisit dans le SIRH. L’investissement en temps et en effort pour enregistrer ces personnes comme des collaborateurs ne vaut souvent pas la peine pour des ‘temporaires’.

Pour des collaborateurs temporaires il faut alors une alternative. On conseille souvent de créer un formulaire électronique ou portail web qui permet au chef de service ou leurs assistants de gérer eux-mêmes les comptes de ces collaborateurs.

Hors du problème des collaborateurs temporaires l’exhaustivité au niveau du SIRH se joue aussi par rapport à :

1) champ numéro de sécurité sociale. Ce champ est le plus pratique pour l’identification unique entre le collaborateur dans le SIRH et le système de gestion de comptes utilisateurs dans le réseau (par exemple Active Directory, E Directory, LDAP etc.). Si le numéro de sécurité social n’est pas disponible pour tous les collaborateurs dans le système RH, l’identification devient plus difficile…

2) la relation collaborateur :: service :: chef de service, est importante aussi. Souvent la relation entre collaborateur et service est présente mais la relation entre ‘service’ et le chef de ce service n’est pas toujours gérée dans le SIRH.

Avec la relation collaborateur :: service :: chef de service il est possible d’automatiser beaucoup de tâches/activités par rapport à la gestion de comptes utilisateurs, par exemple :

Notification d’un nouveau collaborateur à son chef, notification et traitement du départ d’un collaborateur (désactivation de compte en plusieurs étapes dans le temps…) informer le manager sur les droits/applications des gens qui travaillent dans son service, etc.

Pertinence
En général les collaborateurs se font moins de soucis pour une erreur sur leur nom sur leur fiche de paie, que sur un nom incorrect dans le nom affiché dans un email. Un nom incorrect (par exemple nom de jeune fille au lieu de nom de partenaire) dans la liste des emails provoque immédiatement une demande de changement par l’employée. La pertinence des données dans la base RH devient donc primordial…
Volonté
Mettre en œuvre un lien avec le SIRH demande plus de la saissi des collaborateurs dans le système. Souvent le service RH ne se rend pas toute de suite compte de ce changement, mais une (petite) partie des appels au helpdesk se transfère maintenant au service RH. La raison d’un adresse email avec une faute d’orthographe n’est plus le résultat d’une mauvaise saisie de la part du service informatique mais d’une erreur de frappe du service RH. Grace au lien automatique le collaborateur doit alors contacter le Service RH au lieu du service informatique s’il veut que le changement soit fait. Puisque le système RH est maintenant ‘la source’ des informations correctes ou incorrectes…

Peut être ces différents points doivent être considérés dans le processus de mise en œuvre d’un tel lien. Faites attention, il s’agit juste d’une liste non exhaustive et il peut y avoir beaucoup de situations spécifiques pour l’organisation en question, pouvant être résolu de manières différentes.

N’hésitez pas à revenir vers moi si vous désirez en savoir plus sur ce sujet. Je suis joignable par téléphone chez Tools4ever au 01 53 43 29 55 ou par email à p.baas@tools4ever.com

L’Evolution d’une Suite d’Identity Management – Enterprise SSO Manager

Depuis 10 ans, Tools4ever est présent sur le marché de la gestion des identités. Le premier développement fût un outil de auto-provisioning d’utilisateurs. Cette solution était ciblée sur les réseaux Windows et était surtout utilisée dans le but d’importer en masse des utilisateurs pour des universités…
Il y a 5 ans, Tools4ever a décidé de se spécialiser encore plus dans l’identity management : Nous avons investit beaucoup de nos ressources pour créer des solutions réussies.

UMRA
Le premier produit de cette lignée était UMRA (User Management Resource Administrator). UMRA était d’abord une solution de provisioning de comptes utilisateurs qui depuis s’est transformée en une solution mature et performante de gestion des comptes utilisateurs avec entre autre : support des réseaux hybrides (Windows, Novell, Unix, AS400, Mainframe etc.) auto-provisioning possible à partir de SIRH connu (SAP HR, Sage, HR Access, Peoplesoft, etc.) : Délégation du helpdesk (support niveau 1) : Self-Service pour les chefs des services ou utilisateurs finaux ; workflow management pour la validation des demandes ; Reporting et auditing.

Avec UMRA, Tools4ever a toujours eu une approche pratique :
Implémentation phases par phases avec des résultats concrets dans chaque étape. TCO (coût total) compétitive et des implémentations avec résultats concrets à partir de quelques jours.

Marché International
Tools4ever est le leader absolu sur le marché de l’Identity management en Hollande (pays fondateur) et a maintenant plus de 3000 clients dans le monde entier avec deux bureaux en France (Lyon et Paris-Montreuil), Allemagne, Etats Unis (Seattle, New-York), Angleterre, et la siège mondial à Baarn au Pays-Bas.

Tools4ever est leader sur le marché des outils standard de gestion d’identités ainsi que les Professional Services et Conseil en matière de gestion d’identité. Il est difficile de trouver un fournisseur sur le marché avec autant d’implémentations réussies, ou des connaissances concrètes sur l’application de la gestion des identités et des accès.

Gestion des Mots de Passe
3 ans après le développement d’UMRA, Tools4ever a sorti différentes solutions par rapport à la gestion des mots de passe. Le but principal de ces solutions est de réduire le nombre d’appels vers le helpdesk concernant les mots de passe. De plus l’ergonomie de ces applications permet d’aider les utilisateurs finaux ainsi que le service informatique.

Les solutions de gestion des mots de passe sont : Réinitialisation de Mot de Passe en Self Service (SSRPM-Self Service Reset Password Management), la Synchronisation des mots de passe (PSM-Password Synchronisation Manager) et la gestion de la complexité des mots de passe (PCM-Password Complexity Manager).

SSRPM
En integrant SSRPM (Self Service Reset Password Management), l’utilisateur final a la possibilité de réinitialiser son mot de passe sans qu’il ait besoin d’appeler le helpdesk. Avant de pouvoir réinitialiser son mot de passe, l’utilisateur doit répondre à quelques questions personnelles. Chez la plus part de nos clients, on a constaté une réduction de plus de 90% des appels vers le helpdesk concernant les réinitialisations de mot de passe, ainsi qu’une amelioration de la sécurité (la difficulté pour un Helpdesk de bien identifier la personne qui appelle pour demander un reset de son mot de passe)

Enterprise SSO Manager (E-SSO-M)
Avec la sortie d’E-SSO-M, la stratégie de Tools4ever est de proposer un portfolio de solutions d’Identity Management de plus en plus complet. E-SSO-M est une solution SSO performante qui réduit le nombre de mots de passe que l’utilisateur final doit retenir et ressaisir. L’utilisateur n’a pas besoin de ressaisir ses mots de passe ou ses noms d’utilisateurs dans les applications une fois qu’il s’est identifié dans le système. E-SSO-M gère ensuite automatiquement les procédures de logon dans les autres applications. Hormis le fait que cela augmente la convivialité et la productivité des utilisateurs, E-SSO-M offre aussi beaucoup d’avantages pour le service Informatique.

Les Sept raisons expliquant l’importance d’un lien AD-SIRH

Bien que pour certains les avantages d’un lien direct entre le système RH et le Active Directory est évident, il m’arrive toujours presque chaque jour – de parler avec des responsables informatique qui n’osent pas ou ne veulent pas mettre en place un lien automatique de provisioning entre le SIRH (tel que SAP HR, Peoplesoft, Sage, HR Access, Sigma-RH, Cegid etc.) et Active Directory :

Pourquoi alors est-il si important de réaliser ce lien? Quels en sont les avantages? Et quels sont les risques s’il n’est pas implémenté ?

1. Risques de sécurité

Exemples : pour chaque personne quittant l’organisation, le service informatique doit pouvoir garantir que ses comptes utilisateurs soient désactivés et le respect de procédure (désactivation de comte, out office, informer le manager par email quant à la désactivation de compte et la possibilités d’accéder pendant une certain temps au données, rappeler le manager par email avant d’archiver ou supprimer les données).

2. Réduction considérable de travail

La gestion des utilisateurs et des droits dans l’Active directory, Exchange, le système fichier ainsi que d’autres systèmes prend beaucoup de temps, et si ce travail est fait manuellement, il y’a toujours des erreurs, ce qui veut dire encore plus de travail et mécontentement au niveau des utilisateurs et chefs de services.

Un autre aspect est que ce travail de gestion des comptes utilisateurs est en général quelque chose qui est fait au dernier instant, dans la précipitation, mettant une pression inutile sur les administrateurs systèmes.

Et que se passe t-il si l’administrateur système n’est pas là, indisponible, ou remplacé ?

3. Elimination d’erreurs

Grâce au lien entre Active Directory et le système RH on a finalement un Active Directory étant à jour et basé sur les règles de standardisation de l’organisation…

4. Importance de l’Active Directory

Puisque l’Active directory devient de plus en plus important et que de plus en plus de systèmes s’auto provisionnent ou sont liés à ce dernier, il est impératif que ces données soient à jours, ne contenant pas erreurs demandant ainsi le moins de travail possible.

5. Meilleur service aux utilisateurs

Si aujourd’hui il n’est pas exceptionnel de voire qu’il faille d’une à deux journées avant qu’un nouveau collaborateur puisse travailler réellement, une connexion entre l’AD et le système RH permet d’augmenter considérablement le service fourni à l’organisation et aux utilisateurs finaux. La gestion (création, changement, désactivation) des comptes utilisateurs se fait maintenant en ‘temps réel’.

6. Responsabilité là ou il faut…

Dès qu’il y a une erreur ou un retard au niveau de la gestion des accès ou la gestion des comptes utilisateurs, la faute est souvent rejetée vers le service informatique. Alors qu’en fait beaucoup d’erreurs proviennent du fait que les bonnes informations ne remontent pas ou n’arrivent pas au bon moment, au service informatique. Un lien avec le système RH permet de mettre la responsabilité là ou il faut : Vers les personnes qui ont les informations nécessaires (le service RH dans ce cas la)

7. Vous gardez le contrôle !

Parfois les informaticiens n’aiment pas perdre le contrôle sur ce qui se passe dans l’Active Directory. Ils ont raison en partie. Mais un lien avec le système RH n’est pas forcement synonyme de cela. Il est très facile de créer des reportings automatiques pour les administrateurs systèmes qui rendent compte exactement de tous changements dans l’AD, ou bien de mettre en place un système de validation où l’administrateur système ou le Helpdesk valide chaque changement avec un simple clique, sans avoir à faire tous ce travail manuellement.

Bien sur le lien entre l’Active Directory et le système RH n’est parfois pas la solution ultime ou complète. Par exemple s’il s’agit de gérer en détail les droits et les autorisations, le système RH n’est souvent pas assez complet. Mais, il n’empêche que c’est une première étape, essentielle vers une meilleure gestion des identités et accès, qui permet de résoudre quelques problèmes majeurs d’Identity management auxquels sont confrontés aujourd’hui les administrateurs systèmes et les responsables informatiques.

N’hésitez pas de me contacter si vous désirez en savoir plus sur ce sujet. Je suis joignable par téléphone au 01 53 42 29 55 ou par email à p.baas@tools4ever.com p.baas@tools4ever.com

Optimiser la gestion des comptes utilisateurs pour les Ecoles et les Universités

Dans le domaine de la gestion des comptes utilisateurs et des accès (autrement dit : Identity Management), L’ensemble formé par les écoles et les universités est un cas particulier. Ces structures ne doivent pas seulement gérer les identités, les accès ainsi que  les mots de passe pour leurs collaborateurs (professeurs et autres) comme chaque entreprise le ferait en temps normal. Au début de chaque nouvelle année scolaire le service informatique d’une école ou université doit également gérer les identités et les habilitations de tous les étudiants arrivant de même qu’il doivent traiter ceux des nouveaux diplômés.

Le défi

Le nombre de changements
Il s’agit ici d’un vrai défi car le nombre de changements impliqués ne correspond en aucun cas au turnover moyen  d’une entreprise traditionnelle. Une école peut facilement avoir des centaines ou même des milliers des nouveaux élèves/étudiants sur une année. De plus tous les comptes des diplômés doivent être gérés. Si l’on multiplie cela avec le nombre d’accès ou autorisations que chaque élève doit avoir on se rend très vite compte de l’immense travail en decoulant pour les services informatique de ce type de structure.

Urgence
En général les services informatique, responsable de la gestion des identités et des accès/autorisations pour les étudiants effectuent ce travail de titan dans les semaines précédent le début de l’année scolaire, les informations nécessaires se rapportant aux étudiants n’étant disponible qu’au dernier moment.
Ce phénomène est donc vecteur de stress et synonyme d’augmentation de la charge de travail pour les équipes informatiques pendant la période des vacances scolaires. Et, la situation n’évolue pas favorablement au cours de l’année car on s’aperçoit vite que certains comptes utilisateurs comporte des erreurs (non respect de la convention de nommage, mauvais mot de passe, mauvaise autorisation…)

De plus en plus d’autorisations à gérer :
Il y a dix ans, peu d’élèves ou étudiants avaient un compte utilisateur nominatif, l’usage courant était l’utilisation de comptes machines. Aujourd’hui dans la plupart des écoles, chaque élèves/étudiants possèdent un compte utilisateurs nominatif sur le réseau (annuaires tel que Active Directory eDirectory Open LDAP etc.). Mais aussi et de plus en plus d’autres autorisations liées aux applications :

-Email (Lotus Notes, Exchange, G mail)
-Electronic learning environment
-D’autres applications comme Google apps

Ces comptes ont parfois des habilitations différentes en fonction du niveau, département ou statut de l’élève/étudiant, ainsi que des mots de passe à gérer et à communiquer (combien d’écoles ou universités ont aujourd’hui mis en place un système de Single Sign-on ?)

Solution
Si on considère les enjeux et les risques liés à la non-conformité ou à la non existence de comptes utilisateurs, il n’est pas étonnant que de plus en plus d’écoles et universités emploient des outils performants (tel que UMRA (User Management Resource Administrator) de Tools4ever) pour gérer automatiquement les comptes utilisateurs, les accès et les mots de passe des étudiants.
Dans la plupart des cas, ce type de solution peut être mis en place en quelques jours et gère non seulement les changements en début d’année scolaire et en fin d’année scolaire, mais aussi tout au long de l’année (départs ou éventuels changements).
Si avant les importations en masse se faisaient souvent à partir de fichiers (Excel, csv, etc…), aujourd’hui de plus en plus d’écoles optent pour un système plus sur et plus adapté à la situation de établissement concerné. Un lien entre le système de gestion des étudiants tel que « OpenPortal » et le système de gestion des accès est alors préconisé. Pour les administrateurs c’est n’est plus un luxe !

L’Etude de Rentabilité (Business Case) pour L’Identity Management : Calculer le Retour sur Investissement

Fort de mon expérience grâce à la réalisation de plusieurs projets d’Identity Management, je me suis rendu compte que les principaux objectifs souhaitant être atteint par mes clients quant à la réalisation d’un tel projet sont :

  • L’augmentation de la sécurité
  • L’augmentation de  la productivité au sein du service informatique
  • L’amélioration du service proposé aux utilisateurs finaux et clients internes (chefs de service)

Sauf dans le cas où certains audits peuvent risquer de pénaliser financièrement l’organisation, le retour sur investissement de l’Identity management se trouve surtout au niveau du service informatique (ces derniers qui en implémentant un système d’Identity management vont pouvoir travailler plus efficacement, voir automatiser certaines tâches).

En même temps, les utilisateurs finaux vont perdre moins de temps car l’attente relative à la création de comptes utilisateurs ou à l’attribution d’habilitations sera réduite au minimum, toujours dans le but que le collaborateur soit plus rapidement productif.
Voyons alors en quoi consiste ce fameux retour sur investissement pour des projets d’Identity management. Où sont les bénéfices et quels sont-ils ?

Calculatrices de ROI (Retour sur Investissement) pour la gestion des identités – en ligne
Il est parfois possible de trouver sur internet des outils de calcul de ROI pour la gestion des identités mais, dans mon expérience personnelle, ces outils sont dans la plupart des cas : pas réalistes, énormément exagérés, ou même faussés. Un exemple est par exemple celle que j’ai pu trouver où un éditeur des logiciel dans le secteur de la gestion des identités proposait de calculer en partie le retour sur investissement en multipliant le nombre de reset de mot passe par utilisateur par an par le nombre de comptes utilisateurs (nombre d’utilisateur x nombre de comptes) en moyenne. Il n’est pas nécessaire d’avoir beaucoup de connaissances mathématiques pour se rendre compte que le résultat sera faux, orienté à l’avantage de cet éditeur bien évidemment…)

Quels sont les points à considérer pour monter un « business case » ? Les couts principaux pour les activités liées à la gestion des identités :

1)  la création, le changement et la désactivation des comptes utilisateurs et de leurs accès
Quel est aujourd’hui le cout moyen pour faire ces changements en manuel ?
– ‘Couts d’un employé informatique’ x ‘temps nécessaire’
– Prenez en considération tous les systèmes où aujourd’hui les utilisateurs et leurs accès sont gérés manuellement :
– Active directory
– Applications métiers
– Autres applications, bases de données ou annuaires
– Etc.
– Tenez compte du fait qu’un travail fait manuellement est souvent la cause de plusieurs actions : création, erreur, correction, appel au helpdesk, clarifier la demande, vérifications etc.

2)  la perte de productivité coté utilisateur
Combien de temps attend un utilisateur La création de son compte ou ses habilitations avant d’être productif ?
– Multipliez par le cout moyen d’un collaborateur
– Tenez compte de la création mais aussi des eventuels changements (combien de temps pour obtenir un droit supplémentaire ?)

3)  la gestion des comptes externes (fournisseurs, clients, partenaires etc.)
Existe t-il des comptes utilisateurs pour ce type d’utilisateurs ou existe-t-il des accès externes à gérer ?
– Tenez compte de l’effort et du temps que prennent la gestion des comptes des externes (fournisseurs, clients, partenaires etc.)

4)  la gestion des mots de passe, en incluant les réinitialisations de mot de passe
a)  Le temps passé pour gérer les mots de passe ou l’attente d’un reset de mot de passe coté utilisateurs
b)  Le temps passé  pour gérer les mots de passe coté support informatique /helpdesk, ou le cout total d’un appel au helpdesk (si connu)

Bien que ce soient les points les plus importants à tenir en compte lorsque l’on fait un calcul de retour sur investissement d’Identity Management, cette liste est non exhaustive et ces critères peuvent varier d’un cas à l’autre. Cependant, ils donnent une bonne indication. J’aimerais terminer avec quelques exemples de retours sur investissement tirés directement de mes propres expériences :

Quelques exemples réels de retour sur investissement :

Structure : hôpitaux/santé
Nombre d’utilisateurs : 7000
Fonctionnalités du système d’Identity management: Gestion automatiques des comptes utilisateurs et accès dans Windows (active directory) et application métier principale :
Couts : 40K €
Retour direct : 60K € euros par an

Structure : Telecom
Nombre d’utilisateurs  40.000 utilisateurs
Fonctionnalités du système d’Identity management: gestion automatique de demandes (comptes utilisateurs, accès, poste de travail, reset de mot de passe  etc.)
Couts : 250K €
Retour direct (sur diminution des attentes utilisateurs finaux) : 750K € + par an

Pour plus d’information à ce sujet ou d’autres exemples concrets, n’hésitez pas à me contacter directement par e-mail ou par téléphone.

Eléments à prendre en considération pour la réussite d’un projet RBAC

On trouve de plus en plus d’articles sur Internet montrant comme quoi la gestion des accès basée sur des Rôles (Role Based Access Control ou RBAC en anglais) est un concept qui ne tient plus la route.

Avec 10 années d’expérience dans l’Identity Management, Tools4ever – il est vrai – a souvent, même très souvent, été témoin d’initiatives de gestion des accès basée sur des rôles qui …ne tenaient pas la route.

Quelles sont les raisons d’un tel échec? Et quelles sont les bonnes pratiques pour réussir son projet?

Voici quelques éléments :

1/ N’essayez surtout pas de créer une matrice des accès et des rôles complète
Lors de l’implémentation de projet de RBAC, on rencontre souvent des sociétés de conseil qui consacrent beaucoup de temps – parfois des années – a faire des interviews et autres actions nécessitant pas mal d’efforts dans le but de construire la matrice parfaite contenant tous les rôles et accès qui existent dans l’organisation. C’est une approche très couteuse qui amène rarement au résultat voulu. Puisque l’organisation elle-même ne peut pas être considéré comme statique, viser la matrice des rôles ‘complète’ risque de devenir une histoire sans fin.

2/ Essayez de travailler selon un modèle pyramidale
– Si l’on veut vraiment obtenir de bons résultats sans démarrer un projet couteux, la méthode pyramidale est à conseiller. L’idée principale est que l’ensemble des accès peut être vu comme une pyramide, avec des accès fondamentaux et d’autres moins essentiels. Exemple des différents niveaux
– Niveau organisation (OS, login + e-mail)
– Niveau département/service (dossier(s) de partage , applications métier)
– Niveau fonction intitulé de poste (plus détaillées)
– Niveaux des autorisations / rôles les plus détaillés (exemple rôles dans SAP)

Les avantages principaux de cette méthode sont : des résultats immédiats et l’application de la règle des 80/20 (80% du résultat avec 20% des efforts)

3/  Faites la différence entre les autorisations et accès structurées et ad-hoc :
Un des risques des projets relatifs à la gestion des accès basée sur des rôles est de se perdre dans la jungle des autorisations. En effet, il n’est pas concevable d’extraire un modèle type de rôles à partir des autorisations et accès de bas niveau dans la pyramide car bien souvent ils ont été attribués arbitrairement ou exceptionnellement et, de ce fait, ne sont pas structurées. En revanche, certains accès et autorisations sont structurées et peuvent très bien représenter un rôle précis s’inscrivant donc complètement dans la définition du modèle. Il faut impérativement différentier ces deux types dès le début du projet car le processus de gestion et la collecte des informations se rapportant à ces deux types d’autorisations sont différents.

Au départ les accès et autorisations non-structurées peuvent très bien être gérés par un système de demande par workflow, avec traçabilité pour alimenter par la suite la matrice avec plus de détails.

Autres éléments
D’autres éléments importants sont :
– Les pré-requis de conformité (exemple ‘segregation of duty’ dans SOX)
– Gestion de l’existant par rapport au future (as is – to be)
– Les descriptions des rôles /accès fonctionnels et techniques (demande fonctionnelle vs. réalité technique)

Pour en savoir plus sur la gestion des rôles, et la gestion des accès n’hésitez pas à prendre contact avec nous.

Un Portail libre service pour toutes les demandes informatiques

Le challenge est évident :
L’organisation veut avoir accès, facilement et rapidement, aux services et ressources que proposent le Service Informatique, et…le service informatique a la responsabilité de garantir la sécurité et la stabilité. Dans la pratique ces intérêts paraissent souvent contradictoires, mais cependant, il est toujours possible de proposer des solutions offrant plus de services à l’ensemble de l’organisation sans pour autant que cela soit source de problèmes pour les informaticiens. Il est même possible de faire profiter le service informatique de cette même solution.

Le scénario :
L’organisation voudrait être capable de faire une demande de compte utilisateur pour des collaborateurs externes, et voudrait que ces comptes soient actifs immédiatement.

De plus les collaborateurs voudraient plus rapidement avoir accès à leurs applications, sans se perdre dans des discours interminables entre leur manager ou le service informatique (va et vient entre les différents services).

Comment cela marche aujourd’hui ?
Pour les collaborateurs temporaires il y a en général une procédure ou un formulaire (papier) devant être rempli, et qui en passant en premier lieu par le service RH arrive finalement au service informatique. Là, on constate souvent qu’il y a des données qui manquent, ce qui provoque des appels pour clarifier de quoi le nouveau collaborateur a besoin « exactement ».
Ensuite la demande risque de trainer parce que l’administrateur d’une des applications doit encore valider les autorisations pour le système financier (par exemple) pour lequel il a besoin de l’autorisation d’un autre service.

Ceci est juste un exemple, qui montre que souvent les demandes venant de l’organisation requièrent l’intervention de plusieurs personnes, avec à chaque étapes une validation et exécution par le service informatique. Parce qu’il s’agit d’une procédure manuelle, l’informatique peut aussi jouer le rôle de process-manager, et doit contrôler la continuité, la qualité et la communication.

Comment optimiser ?
Il est possible de créer un portail self service (web-shop) sécurisé et personnalisé où les collaborateurs de l’organisation eux-mêmes peuvent faire des demandes électroniques (e-forms). Une demande peut passer par une ou plusieurs validations avant d’arriver au service informatique. Logique n’est-ce pas ? Et comme ca on traduit techniquement le scénario/procédure.
Mais on peut facilement aller plus loin. Toutes les personnes qui ont accès au portail self-service peuvent à chaque moment suivre le statut de la demande, qui doit faire la prochaine action et aussi qui a validé quoi.

Le portail self service s’adaptera automatiquement à la structure de l’organisation, si ce dernier est connecté au système RH. Le portail self service pourrait y trouver automatiquement la relation entre un collaborateur et son manager. Mais aussi d’autres informations pertinentes aux services (intitulé de poste, centre de coûts…) et les montrer sur le formulaire électronique.
Ainsi on respecte la hiérarchie de l’organisation et en même temps cela permet de personnaliser les formulaires de telle manière que toutes les bonnes informations arrivent au bon moment au service informatique.

Le service informatique qui reçoit la « commande » peut ainsi s’assurer qu’elle est correcte, qu’elle est validée par le responsable et que les informations arrivent au bon moment, car les demandes arrivent automatiquement et nominativement.
Ces trois points : « correct/complet », « validé » et « à temps » rendent la réalisation beaucoup plus facile pour les administrateurs. Les communications et confirmations sont gérées automatiquement par le portail libre service (web shop).

Cliquez ici pour voir les possibilités du portail self service ou pour voir une démo du « web-shop ».