Archives du mot-clef active directory

Solution : Gérer les mots de passe AS400 / iSeries / xSeries avec Windows Active Directory…

synchronisation password AD AS400

Problème

Plusieurs de nos clients nous ont sollicité notre expertise  afin d’optimiser la gestion de leurs mots de passe sur les systèmes IBM OS/400 / iSeries / xSeries. Le problème provenait du  fait que le système AS400 gérait les mots de passe Windows, alors que ces clients souhaitaient que ce soit Windows Active Directory qui soit maître pour la gestion des mots de passe AS400.

L’objectif était de dissocier les environnements Windows Active Directory et AS400 qui jusque-là étaient assez interdépendants.

Grâce à notre logiciel PSM (Password synchronisation Manager) et au connecteur AS400 intégré à notre logiciel de provisioning, nous avons pu réaliser cet ajustement et permettre ainsi à nos  clients d’atteindre leur objectif.

Résultats :

Désormais PSM détecte le changement d’un mot de passe au niveau de l’Active Directory et synchronise les systèmes AS400 avec le nouveau mot de passe pour l’utilisateur AS400 en question.

De ce fait, les environnements Windows et AS400 sont moins interdépendants (ce n’est plus l’AS400 qui pilote les mots de passe Windows), et l’utilisateur final n’a plus différents mots de passe à retenir et à gérer.

Synchro mot de passe AD et AS400

Effort :

Notre Consultant IAM a réussi à mettre en place cette solution en une journée seulement sur un environnement  comprenant 2000 utilisateurs. Cette journée inclut :

  • L’Installation du logiciel PSM (Password Synchronisation Manager),
  • La configuration de la synchronisation AD avec AS400,
  • Les Tests et la validation par le consultant.

Le client a rapidement validé le fonctionnement sur quelques utilisateurs avant de l’activer pour l’ensemble des utilisateurs finaux.

Options :

      • La solution PSM (Password Synchronisation Manager) peut également couvrir d’autres systèmes et synchroniser les mots de passe AD avec Oracle, SAP, Lotus Notes, SQL, et tout autre système permettant une gestion des mot de passe par une solution tierce (par API, Webservice, XML, script ou ODBC, etc)
      • Il est également possible de mettre en place une authentification unique grâce à notre solution SSO (Enterprise SSO Manager et WebSSO) de Tools4ever
      • Dans le cas où les règles de complexité de mot de passe ne seraient pas les mêmes d’un système ou d’une application à une autre, la stratégie de complexité des mots de passe pourrait être gérée avec PCM (Password Complexity Manager)
      • Self-Service des mots de passe (via une page web ou intégré dans la page de connexion windows

En savoir plus? Contactez-nous

Utiliser une interface web simple et intuitive afin de gérer les comptes utilisateurs dans Active Directory et d’autres systèmes/applications

Utiliser l’interface administrateur d’Active Directory afin de gérer les comptes utilisateurs et les droits d’accès présente de nombreux désavantages, comme par exemple :

  • Sécurité : les utilisateurs doivent être connectés avec des droits administrateurs et généralement les droits administrateur de domaine.
  • L’interface native d’Active Directory Utilisateurs et Ordinateurs que Microsoft propose n’est pas très intuitive : un grand nombre d’onglet à parcourir, d’attributs à gérer et de clics à effectuer rendent le processus sujet aux erreurs et aux oublis.
  • Le respect des standards comme la nomenclature interne ou les profils de gestion de groupes est très complexe à contrôler dès lors que la création, modification ou désactivation de comptes sont effectuées par plusieurs personnes.
  • Temps : créer, modifier et nettoyer les comptes au sein d’active directory prend un temps considérable du fait que bon nombre d’actions sont réalisées manuellement.
  • Ressources : gérer les comptes utilisateurs Active Directory n’est pas le travail le plus passionnant, les tâches sont répétitives et le plus souvent effectuées par des administrateurs senior à cause des niveaux de droits requis.

Mettre en place une interface web simple et intuitive pour la gestion des utilisateurs Active Directory

Avec un outil comme UMRA, il est possible de mettre en place une interface web pour gérer les comptes utilisateurs et les droits d’accès au sein d’Active Directory et d’autres systèmes/applications comme Lotus Notes, AS400, SAP, Office 365, Google Apps etc…

Une telle interface peut être installée et paramétrée aux besoins du client en 2 à 3 jours.

Les avantages sont les suivants :

Une interface simple qui permet à n’importe qui, et ce sans la moindre connaissance d’Active Directory, de créer, modifier et désactiver des comptes utilisateurs.

Sécurité : Aucun besoin de donner les droits administrateurs pour déléguer des tâches spécifiques

Respect de vos standards : la nomenclature et la gestion des attributs d’Active Directory sont automatiques et garantis. L’interface ne nécessite que le nom et le prénom de l’utilisateur ainsi qu’un ou deux champs à sélectionner. Les standards et les règles sont configurés dans les outils en amont de telle sorte qu’ils sont automatiquement respectés.

Temps : tout cela génère du temps libre pour les administrateurs senior et rend la gestion des utilisateurs dix fois plus rapide et plus efficace.
Possibilité d’ajouter des étapes de validation dans le workflow, et même de déléguer la gestion des utilisateurs aux chefs de services.

L’interface web d’UMRA pour Active Directory permet aussi de gérer les comptes non Active Directory comme par exemple AS400, SAP, Lotus Notes, Google Apps, Office 365, Salesforce etc…

Si vous désirez voir l’efficacité et la simplicité de l’interface web pour Active Directory dans votre organisation, contactez simplement le bureau Tools4ever le plus proche et demandez une démonstration.

Optimiser la Gestion des Groupes de Sécurité Active Directory avec des outils

Votre réseau et votre organisation prenant de plus en plus d’ampleur, le nombre de groupes de sécurité Active Directory augmente sensiblement. Au fil du temps, il n’est donc pas rare de voir ces groupes devenir plus compliqués à gérer pour le service informatique.

UMRA (User Management Resource Administrator) offre un large éventail de possibilités pour simplifier et optimiser la gestion des groupes, peu importe que ceux-ci contrôlent les accès aux applications, les listes de distribution, l’accès aux partitions réseaux ou autres…

Quelques possibilités offertes par notre outil :

Délégation de la gestion de groupes
Une des principales fonctionnalités d’UMRA Web Interface est la gestion de groupes. Elle est offerte à des utilisateurs non-techniques (non-administrateurs) comme par exemple le personnel du Helpdesk ou des utilisateurs ne possédant pas les droits sur l’Active Directory, le tout s’effectuant grâce à une interface web simple et intuitive (voire image). Il est alors possible de voir tous les membres d’un groupe d’un seul coup, d’ajouter ou d’enlever plusieurs utilisateurs d’un simple clic ou même de sélectionner un utilisateur afin d’afficher ou de modifier son appartenance à des groupes en quelques secondes. De nouveaux groupes peuvent aussi être créés et gérés à la volé.

Self-Service et Workflow avec validation par le responsable du groupe de sécurité
Il devrait être possible pour le responsable d’un groupe d’ajouter ou d’enlever des utilisateurs directement, certains groupes nécessitant une validation par le responsable du groupe AD spécifique. Tout ceci est possible avec UMRA par un processus simple de validation automatique (voir image). Le responsable du groupe de sécurité reçoit une notification par e-mail avec un lien lui permettant de voir immédiatement la requête et de la valider (ou non) en un clic.
Cela s’avère particulièrement utile dans le cadre, par exemple, d’une délégation de la gestion de certains groupes aux managers, et peut être mis en place pour fournir un processus de requêtes d’accès en Self-Service aux utilisateurs.

Gestion de groupes automatisée
Une troisième possibilité revient à gérer automatiquement les groupes Active Directory en accord avec les paramètres du compte AD comme le lieu, le département, l’intitulé du poste de l’utilisateur ou des rôles spécifiques.

Pour plus d’informations sur la gestion des groupes active directory avec UMRA, contactez le bureau Tools4ever le plus proche.

Implémenter le Single Sign On / Authentification Unique avec SAP

La suite SAP ERP est un système ERP pour toute l’entreprise comprenant de nombreux modules et une multitude de méthodes d’authentification possibles. Dans bon nombre d’organisations, les utilisateurs se connectent à SAP en utilisant différentes méthodes et identifiants. Par exemple, les utilisateurs peuvent se connecter via SAP GUI, via Business Objects for SAP, via une connexion Excel comme SAP Bex et même via Powerpoint (fichiers PPT). Beaucoup d’entreprise possèdent aussi des versions différentes de SAP (version 6 ou 7).

Un bon nombre d’organisations tendent à simplifier le processus d’authentification pour SAP grâce au Single Sign On. Mais ce n’est pas toujours chose aisée, et plus particulièrement si une partie des modules et des interfaces de SAP ne sont pas liés à Active Directory.

Chez Tools4ever, nous sommes spécialisés dans l’implémentation du Single Sign On pour les entreprises. Nous avons une forte expérience dans l’implémentation de l’authentification unique pour SAP sans avoir à modifier l’environnement SAP et en général, 2 à 3 jours d’interventions sont suffisants pour couvrir toutes vos connexions et instances SAP. Le Single Sign On pour SAP est configuré à partir d’E-SSOM (Enterprise SSO Manager) et permet aux utilisateurs de se connecter automatiquement toutes leurs instances SAP après s’être authentifié.

Des études de cas d’implémentations de Single Sign On sont disponibles ici (lire les études de cas pour Truffaut et SGD).

Pour plus d’informations sur E-SSOM et le Single Sign On pour SAP, contactez votre bureau Tools4ever le plus proche.

Comment les utilisateurs peuvent-ils se connecter à une application via Active Directory et sans connecteur LDAP ?

Q : Est-il possible d’appliquer une politique de complexité de mot de passe sur des applications qui ne le supportent pas ? Et sans connecteur LDAP pointant vers l’Active Directory pour l’authentification ?

R : Il s’agit d’un des nombreux problèmes rencontrés dans le processus de gestion des mots de passe, les plus vieux systèmes ayant pour la plupart des stratégies de complexité de mots passe obsolètes voire inexistantes. De surcroit, le connecteur LDAP n’est pas forcement disponible et l’application peut se trouver dans l’impossibilité de demander des mots de passe complexes aux utilisateurs.

Notre solution de gestion de mots de passe E-SSOM vous offre trois manières différentes de résoudre cette problématique :
1.Il est possible de laisser l’utilisateur se ré-authentifier à l’Active Directory dès qu’il tente de se connecter à une de ses applications en utilisant E-SSOM. Au lieu de demander les identifiants pour l’application, l’utilisateur s’authentifie simplement sur l’AD et est automatiquement connecté à son application. Un processus simple, augmentant la sécurité sans accroître le nombre de mots de passe complexes que l’utilisateur doit retenir, et ne nécessitant aucun connecteur LDAP.

2.E-SSOM peut aussi forcer l’utilisateur à se créer un mot de passe pour sa prochaine connexion et d’y appliquer des stratégies de complexité même si l’application ne le permet pas. Cette solution peut être implémentée de manière à ce que l’utilisateur soit connecté automatiquement à l’application (plus de mots de passe complexes à retenir), les mots de passe restant complexes et surs au sein de l’application.

3.E-SSOM peut aussi générer des mots de passe complexes et aléatoires, dans la limite des possibilités offerte par l’application. Cette solution est complétement transparente pour l’utilisateur qui n’a qu’à cliquer sur l’application pour qu’E-SSOM complexifie son mot de passe. Il se connecte par la suite de manière automatique tout en gardant la complexité de son mot de passe dans l’application.

Il existe beaucoup d’autres cas dans lesquels la gestion des mots de passe combinée aux solutions de Single Sign On permet d’augmenter significativement le niveau de sécurité, sans surcharger les utilisateurs avec des mots de passe complexes. Les consultants techniques de Tools4ever sont des experts sur la question de la Gestion des Accès et des Identités et peuvent vous aider à trouver la solution adéquate.

Les Mairies Europeennes utilisent UMRA pour la gestion de leur Active Directory

En utilisant un outil de délégation, les services informatiques des Mairies Européennes gagnent beaucoup en temps, efficacité et sécurité…

J’ai travaillé avec des dizaines de mairies Européenne et les Responsables Informatique (DSI) sont en général d’accord sur le fait que la gestion des comptes utilisateurs avec les outils natifs de Microsoft pose des problèmes. Surtout à partir d’un nombre d’utilisateurs au dessus de 300. Les  7 problèmes les plus fréquemment rencontrés chez les Mairies Européennes sont  :

 

  •     La gestion des comptes utilisateurs et la gestion des accès prend beaucoup de temps (création, changements de compte/accès, désactivation, stagiaires, comptes ou accès temporaires etc.)
  •     Tout le monde Administrateur ! par manque d’un système de délégation convenable la gestion d’Active Directory doit être faite avec un compte administrateur, les DSI des Mairies déplorent souvent le fait que trop de personnes aient besoin du mot de passe administrateur.
  •     La gestion manuelle est cause d’erreurs, délais, ou comptes non conformes à la politique de la Mairie (politique de nommage, politique de sécurité)
  •     Beaucoup de collaborateurs ont plus d’accès autorisés qu’ils n’en ont besoin (problèmes de sécurité, coûts de licences), parfois même lorsque la personne a déjà quitté la Mairie
  •     Insatisfaction des clients en interne à cause des délais/erreurs.
  •     Chaque utilisateur doit être créé parfois manuellement sur plusieurs systèmes, bases de données et annuaires…: Active Directory, LDAP, Oracle/SQL, autres systèmes
  •     Il n’est souvent pas possible de faire du reporting pertinent sur les accès. La question ‘qui a droit où?’ se pose fréquemment. Pouvoir y répondre correctement est rare.

La Solution qu’utilisent les Mairies Europeennes
En utilisant un outil comme UMRA (User Management Resource Administrator), de Tools4ever, les Mairies Européennes ont réalisées en quelques jours des grands résultats. En effet, il est possible de déléguer toute tâche au niveau de l’Active Directory (ou autre annuaire /base de données) d’une manière sécurisé sans que la personne ait besoin d’un compte administrateur ou des compétences informatiques particulières. Ainsi la délégation peut se faire aux différents niveaux, selon la stratégie de la DSI de la Mairie et la maturité en matière d’Identity Management.

Où Déléguer ?
– Au niveau informatique vers le support niveau 0 ou 1. Résultats : gestion rapide et standardisée, sans besoin de compte administrateur ou des compétences Active Directory.
– Au niveau du service RH (en général c’est le service RH qui est informé de l’arrivée ou le départ d’un collaborateur avant le service informatique) Il y a également la possibilité de lier UMRA directement au SIRH (système d’informations RH), pour que les comptes utilisateurs et accès soient gérés en temps-réel avec le moins d’effort manuel possible. Ceci évite aussi la saisi en double des données.
– Au niveau des Chefs des Services. Le chef de service sait exactement quand un nouveau collaborateur arrive et de quoi il a besoin (ressources, répertoires, applications) pour faire son travail, et est le premier à savoir quand la personne quitte la Mairie.

Fonctionnement
La solution que beaucoup de Mairies utilisent est basé sur d’une coté des formulaires électroniques (demande de création de compte, changement de compte/droits, désactivation de compte, reset de mot de passe, reporting etc.) et, d’une autre coté, des scénarios UMRA etc tout cela en fonction de la politique et stratégie de la Mairie. Par exemple le scenario de ‘création de compte’ peut consister en la création d’un compte Active Directory avec, adresse email, homedrive, certain droits/groupes Active Directory etc tous selon la politique de nommage (standards) et de sécurité (qui a droit à quoi?) de la Mairie.
Les formulaires UMRA déclenchent des scénarios UMRA qui sont exécutés par le Service UMRA, dans Active Directory, Exchange, NTFS ou d’autres systèmes encore.

Les Mairies rencontrent les problèmes cités au dessus ne doivent pas attendre qu’un miracle se passe, pour gérer leurs comptes utilisateurs d’une manière performante, sécurisée, tout en augmentant le service aux clients interne, selon des procédures modèles. La mise en œuvre d’UMRA pour une Mairie prends quelques jours grâce à l’expérience de Tools4ever avec des implémentations pour des mairies allant de formulaires de délégation simples, jusqu’aux workflows complets avec système de gestion d’identité et d’accès complet.

N’hésitez pas à revenir vers moi si vous désirez en savoir plus sur ce sujet. Je suis joignable par téléphone chez Tools4ever au 01 53 43 29 55 ou par email à p.baas@tools4ever.com .

L’Evolution d’une Suite d’Identity Management – Enterprise SSO Manager

Depuis 10 ans, Tools4ever est présent sur le marché de la gestion des identités. Le premier développement fût un outil de auto-provisioning d’utilisateurs. Cette solution était ciblée sur les réseaux Windows et était surtout utilisée dans le but d’importer en masse des utilisateurs pour des universités…
Il y a 5 ans, Tools4ever a décidé de se spécialiser encore plus dans l’identity management : Nous avons investit beaucoup de nos ressources pour créer des solutions réussies.

UMRA
Le premier produit de cette lignée était UMRA (User Management Resource Administrator). UMRA était d’abord une solution de provisioning de comptes utilisateurs qui depuis s’est transformée en une solution mature et performante de gestion des comptes utilisateurs avec entre autre : support des réseaux hybrides (Windows, Novell, Unix, AS400, Mainframe etc.) auto-provisioning possible à partir de SIRH connu (SAP HR, Sage, HR Access, Peoplesoft, etc.) : Délégation du helpdesk (support niveau 1) : Self-Service pour les chefs des services ou utilisateurs finaux ; workflow management pour la validation des demandes ; Reporting et auditing.

Avec UMRA, Tools4ever a toujours eu une approche pratique :
Implémentation phases par phases avec des résultats concrets dans chaque étape. TCO (coût total) compétitive et des implémentations avec résultats concrets à partir de quelques jours.

Marché International
Tools4ever est le leader absolu sur le marché de l’Identity management en Hollande (pays fondateur) et a maintenant plus de 3000 clients dans le monde entier avec deux bureaux en France (Lyon et Paris-Montreuil), Allemagne, Etats Unis (Seattle, New-York), Angleterre, et la siège mondial à Baarn au Pays-Bas.

Tools4ever est leader sur le marché des outils standard de gestion d’identités ainsi que les Professional Services et Conseil en matière de gestion d’identité. Il est difficile de trouver un fournisseur sur le marché avec autant d’implémentations réussies, ou des connaissances concrètes sur l’application de la gestion des identités et des accès.

Gestion des Mots de Passe
3 ans après le développement d’UMRA, Tools4ever a sorti différentes solutions par rapport à la gestion des mots de passe. Le but principal de ces solutions est de réduire le nombre d’appels vers le helpdesk concernant les mots de passe. De plus l’ergonomie de ces applications permet d’aider les utilisateurs finaux ainsi que le service informatique.

Les solutions de gestion des mots de passe sont : Réinitialisation de Mot de Passe en Self Service (SSRPM-Self Service Reset Password Management), la Synchronisation des mots de passe (PSM-Password Synchronisation Manager) et la gestion de la complexité des mots de passe (PCM-Password Complexity Manager).

SSRPM
En integrant SSRPM (Self Service Reset Password Management), l’utilisateur final a la possibilité de réinitialiser son mot de passe sans qu’il ait besoin d’appeler le helpdesk. Avant de pouvoir réinitialiser son mot de passe, l’utilisateur doit répondre à quelques questions personnelles. Chez la plus part de nos clients, on a constaté une réduction de plus de 90% des appels vers le helpdesk concernant les réinitialisations de mot de passe, ainsi qu’une amelioration de la sécurité (la difficulté pour un Helpdesk de bien identifier la personne qui appelle pour demander un reset de son mot de passe)

Enterprise SSO Manager (E-SSO-M)
Avec la sortie d’E-SSO-M, la stratégie de Tools4ever est de proposer un portfolio de solutions d’Identity Management de plus en plus complet. E-SSO-M est une solution SSO performante qui réduit le nombre de mots de passe que l’utilisateur final doit retenir et ressaisir. L’utilisateur n’a pas besoin de ressaisir ses mots de passe ou ses noms d’utilisateurs dans les applications une fois qu’il s’est identifié dans le système. E-SSO-M gère ensuite automatiquement les procédures de logon dans les autres applications. Hormis le fait que cela augmente la convivialité et la productivité des utilisateurs, E-SSO-M offre aussi beaucoup d’avantages pour le service Informatique.

Les Sept raisons expliquant l’importance d’un lien AD-SIRH

Bien que pour certains les avantages d’un lien direct entre le système RH et le Active Directory est évident, il m’arrive toujours presque chaque jour – de parler avec des responsables informatique qui n’osent pas ou ne veulent pas mettre en place un lien automatique de provisioning entre le SIRH (tel que SAP HR, Peoplesoft, Sage, HR Access, Sigma-RH, Cegid etc.) et Active Directory :

Pourquoi alors est-il si important de réaliser ce lien? Quels en sont les avantages? Et quels sont les risques s’il n’est pas implémenté ?

1. Risques de sécurité

Exemples : pour chaque personne quittant l’organisation, le service informatique doit pouvoir garantir que ses comptes utilisateurs soient désactivés et le respect de procédure (désactivation de comte, out office, informer le manager par email quant à la désactivation de compte et la possibilités d’accéder pendant une certain temps au données, rappeler le manager par email avant d’archiver ou supprimer les données).

2. Réduction considérable de travail

La gestion des utilisateurs et des droits dans l’Active directory, Exchange, le système fichier ainsi que d’autres systèmes prend beaucoup de temps, et si ce travail est fait manuellement, il y’a toujours des erreurs, ce qui veut dire encore plus de travail et mécontentement au niveau des utilisateurs et chefs de services.

Un autre aspect est que ce travail de gestion des comptes utilisateurs est en général quelque chose qui est fait au dernier instant, dans la précipitation, mettant une pression inutile sur les administrateurs systèmes.

Et que se passe t-il si l’administrateur système n’est pas là, indisponible, ou remplacé ?

3. Elimination d’erreurs

Grâce au lien entre Active Directory et le système RH on a finalement un Active Directory étant à jour et basé sur les règles de standardisation de l’organisation…

4. Importance de l’Active Directory

Puisque l’Active directory devient de plus en plus important et que de plus en plus de systèmes s’auto provisionnent ou sont liés à ce dernier, il est impératif que ces données soient à jours, ne contenant pas erreurs demandant ainsi le moins de travail possible.

5. Meilleur service aux utilisateurs

Si aujourd’hui il n’est pas exceptionnel de voire qu’il faille d’une à deux journées avant qu’un nouveau collaborateur puisse travailler réellement, une connexion entre l’AD et le système RH permet d’augmenter considérablement le service fourni à l’organisation et aux utilisateurs finaux. La gestion (création, changement, désactivation) des comptes utilisateurs se fait maintenant en ‘temps réel’.

6. Responsabilité là ou il faut…

Dès qu’il y a une erreur ou un retard au niveau de la gestion des accès ou la gestion des comptes utilisateurs, la faute est souvent rejetée vers le service informatique. Alors qu’en fait beaucoup d’erreurs proviennent du fait que les bonnes informations ne remontent pas ou n’arrivent pas au bon moment, au service informatique. Un lien avec le système RH permet de mettre la responsabilité là ou il faut : Vers les personnes qui ont les informations nécessaires (le service RH dans ce cas la)

7. Vous gardez le contrôle !

Parfois les informaticiens n’aiment pas perdre le contrôle sur ce qui se passe dans l’Active Directory. Ils ont raison en partie. Mais un lien avec le système RH n’est pas forcement synonyme de cela. Il est très facile de créer des reportings automatiques pour les administrateurs systèmes qui rendent compte exactement de tous changements dans l’AD, ou bien de mettre en place un système de validation où l’administrateur système ou le Helpdesk valide chaque changement avec un simple clique, sans avoir à faire tous ce travail manuellement.

Bien sur le lien entre l’Active Directory et le système RH n’est parfois pas la solution ultime ou complète. Par exemple s’il s’agit de gérer en détail les droits et les autorisations, le système RH n’est souvent pas assez complet. Mais, il n’empêche que c’est une première étape, essentielle vers une meilleure gestion des identités et accès, qui permet de résoudre quelques problèmes majeurs d’Identity management auxquels sont confrontés aujourd’hui les administrateurs systèmes et les responsables informatiques.

N’hésitez pas de me contacter si vous désirez en savoir plus sur ce sujet. Je suis joignable par téléphone au 01 53 42 29 55 ou par email à p.baas@tools4ever.com p.baas@tools4ever.com

L’Etude de Rentabilité (Business Case) pour L’Identity Management : Calculer le Retour sur Investissement

Fort de mon expérience grâce à la réalisation de plusieurs projets d’Identity Management, je me suis rendu compte que les principaux objectifs souhaitant être atteint par mes clients quant à la réalisation d’un tel projet sont :

  • L’augmentation de la sécurité
  • L’augmentation de  la productivité au sein du service informatique
  • L’amélioration du service proposé aux utilisateurs finaux et clients internes (chefs de service)

Sauf dans le cas où certains audits peuvent risquer de pénaliser financièrement l’organisation, le retour sur investissement de l’Identity management se trouve surtout au niveau du service informatique (ces derniers qui en implémentant un système d’Identity management vont pouvoir travailler plus efficacement, voir automatiser certaines tâches).

En même temps, les utilisateurs finaux vont perdre moins de temps car l’attente relative à la création de comptes utilisateurs ou à l’attribution d’habilitations sera réduite au minimum, toujours dans le but que le collaborateur soit plus rapidement productif.
Voyons alors en quoi consiste ce fameux retour sur investissement pour des projets d’Identity management. Où sont les bénéfices et quels sont-ils ?

Calculatrices de ROI (Retour sur Investissement) pour la gestion des identités – en ligne
Il est parfois possible de trouver sur internet des outils de calcul de ROI pour la gestion des identités mais, dans mon expérience personnelle, ces outils sont dans la plupart des cas : pas réalistes, énormément exagérés, ou même faussés. Un exemple est par exemple celle que j’ai pu trouver où un éditeur des logiciel dans le secteur de la gestion des identités proposait de calculer en partie le retour sur investissement en multipliant le nombre de reset de mot passe par utilisateur par an par le nombre de comptes utilisateurs (nombre d’utilisateur x nombre de comptes) en moyenne. Il n’est pas nécessaire d’avoir beaucoup de connaissances mathématiques pour se rendre compte que le résultat sera faux, orienté à l’avantage de cet éditeur bien évidemment…)

Quels sont les points à considérer pour monter un « business case » ? Les couts principaux pour les activités liées à la gestion des identités :

1)  la création, le changement et la désactivation des comptes utilisateurs et de leurs accès
Quel est aujourd’hui le cout moyen pour faire ces changements en manuel ?
– ‘Couts d’un employé informatique’ x ‘temps nécessaire’
– Prenez en considération tous les systèmes où aujourd’hui les utilisateurs et leurs accès sont gérés manuellement :
– Active directory
– Applications métiers
– Autres applications, bases de données ou annuaires
– Etc.
– Tenez compte du fait qu’un travail fait manuellement est souvent la cause de plusieurs actions : création, erreur, correction, appel au helpdesk, clarifier la demande, vérifications etc.

2)  la perte de productivité coté utilisateur
Combien de temps attend un utilisateur La création de son compte ou ses habilitations avant d’être productif ?
– Multipliez par le cout moyen d’un collaborateur
– Tenez compte de la création mais aussi des eventuels changements (combien de temps pour obtenir un droit supplémentaire ?)

3)  la gestion des comptes externes (fournisseurs, clients, partenaires etc.)
Existe t-il des comptes utilisateurs pour ce type d’utilisateurs ou existe-t-il des accès externes à gérer ?
– Tenez compte de l’effort et du temps que prennent la gestion des comptes des externes (fournisseurs, clients, partenaires etc.)

4)  la gestion des mots de passe, en incluant les réinitialisations de mot de passe
a)  Le temps passé pour gérer les mots de passe ou l’attente d’un reset de mot de passe coté utilisateurs
b)  Le temps passé  pour gérer les mots de passe coté support informatique /helpdesk, ou le cout total d’un appel au helpdesk (si connu)

Bien que ce soient les points les plus importants à tenir en compte lorsque l’on fait un calcul de retour sur investissement d’Identity Management, cette liste est non exhaustive et ces critères peuvent varier d’un cas à l’autre. Cependant, ils donnent une bonne indication. J’aimerais terminer avec quelques exemples de retours sur investissement tirés directement de mes propres expériences :

Quelques exemples réels de retour sur investissement :

Structure : hôpitaux/santé
Nombre d’utilisateurs : 7000
Fonctionnalités du système d’Identity management: Gestion automatiques des comptes utilisateurs et accès dans Windows (active directory) et application métier principale :
Couts : 40K €
Retour direct : 60K € euros par an

Structure : Telecom
Nombre d’utilisateurs  40.000 utilisateurs
Fonctionnalités du système d’Identity management: gestion automatique de demandes (comptes utilisateurs, accès, poste de travail, reset de mot de passe  etc.)
Couts : 250K €
Retour direct (sur diminution des attentes utilisateurs finaux) : 750K € + par an

Pour plus d’information à ce sujet ou d’autres exemples concrets, n’hésitez pas à me contacter directement par e-mail ou par téléphone.

Connexion du SIRH avec Lotus Notes

UMRA possède de nombreux connecteurs notamment entre des SIRH et Active Directory dans le but d’automatiser la gestion des comptes utilisateurs. Avec plus de 150 connecteurs, UMRA est capable de collecter des données qui sont pertinentes pour la création, modification et désactivation des comptes utilisateurs. Il est possible, par exemple, de lire à partir du SIRH quels sont les nouveaux utilisateurs ou encore ceux qui changent de fonction ou lieu de travail. En résumé, tous les mouvements relatifs à une personne dans l’entreprise.

En dehors de la gestion des comptes utilisateurs dans Active Directory, UMRA est tout à fait capable de gérer automatiquement l’annuaire Lotus Notes. Nous  rencontrons régulièrement des clients disposant d’un annuaire Lotus Notes avec des données sur les collaborateurs n’étant pas à jour. Des numéros de téléphone incorrects, les champs de département, service ou fonction renseignés à la main, ainsi que des erreurs liées au non respect des règles de nommage.

Avec UMRA, il est tout à fait possible de relier en une à deux journées l’annuaire Lotus Notes avec un SIRH tels que Cegid RH Place, Oracle PeopleSoft ou SAP RH. Ces systèmes d’informations disposent le plus souvent de données à jour sur les collaborateurs, ces dernières pouvant être automatiquement synchronisées par l’intermédiaire d’UMRA dans l’annuaire Lotus Notes. Aucune modification dans la configuration de Lotus Notes n’est nécessaire. UMRA peut détecter les données ayant changées pour ensuite les répercuter dans l’annuaire Lotus. De plus, des outils de reporting détaillés sont inclus pour permettre à la DSI d’avoir un œil sur les modifications effectuées.

Certaines données sont soumises à des contraintes avant de pouvoir être synchronisées. Lotus Notes requière par exemple une action de renommage du « person-document » avant de pouvoir modifier « l’object-name ».  UMRA gère toutes ces facettes de provisioning de Lotus Notes mais aussi d’autres opérations complexes.

Pour plus d’information sur la connexion entre le SIRH et d’autres systèmes, visitez : www.tools4ever.fr