Archives du mot-clef active directory

UMRA contrôle les sessions d’examens des étudiants

Traditionnellement, les écoles et collèges utilisent UMRA afin de maintenir Active Directory à jour, soit par la lecture des informations depuis un fichier CSV, ou par un lien dynamique de synchronisation à leur système d’information tel que Moodle, Apogée, etc.

Une partie de le Suite de gestion des identités de Tools4ever est UMRA Forms, une interface sécurisée, rapide et précise permettant de gérer le cycle de vie d’un utilisateur. Quand une école fait le lien entre Active Directory et le système d’information des étudiants, toutes les modifications du compte de l’étudiant sont automatisées, sans intervention manuelle.

Il y a quelques mois nous avons été en contact avec une école qui avait un problème intéressant en matière de supervision de session d’examen.

L’administrateur de l’école crée des comptes d’examen pour les élèves, avec les répertoires partagés normalisés comme pour chaque utilisateur. Dans le répertoire, il crée une série de dossiers « examen », auxquels l’élève doit seulement accéder pendant une session d’évaluation contrôlée. L’élève peut avoir besoin d’utiliser le compte examen à l’extérieur d’une période d’évaluation contrôlée, donc l’activation et la désactivation du compte utilisateur n’est pas une option.

L’administrateur avait vraiment besoin d’un moyen de contrôler les autorisations NTFS sur les dossiers d’examen dans le répertoire pour chaque compte. TOOLS4EVER a donc construit une interface simple, déléguée au personnel enseignant, permettant d’activer et de désactiver l’accès aux dossiers d’examen par un seul clic.

La tâche fastidieuse de gestion des comptes examen est maintenant déléguée au personnel enseignant. Plus important encore, UMRA trace chaque action à des fins d’audit.

Cliquez ici pour en savoir plus sur la gestion des identités et des accès pour les écoles et universités

Les parents d’élèves peuvent désormais accéder aux données scolaires de leur enfants

Dans ce billet, je voudrais présenter des cas uniques où les clients ont des exigences qui sortent du cadre de nos solutions en matière de gestion des identités. L’un des 10 meilleurs établissements scolaires de l’Etat de Floride, et un des 25 meilleurs des Etats Unis, avait un problème de gestion des identités qui ne concernait ni les étudiants, ni les professeurs, ni le personnel, mais plutôt les parents d’élèves…

Une législation avait été adoptée pour que, tout parent désireux d’accéder aux données de leur enfant sur son environnement électronique d’apprentissage, se présente en personne afin de s’identifier et de demander un compte. Avec plus de 125 emplacements physiques et 500 et + utilisateurs pour gérer ce processus, un système papier n’était pas envisageable.

La solution mise en place est  une combinaison de produits proposés par TOOLS4EVER ainsi que la conception de formulaires web personnalisés.

TOOLS4EVER a travaillé en étroite collaboration avec le personnel technique de l’établissement pour s’assurer que les conditions étaient très détaillées afin d’éviter toute « pièce manquante ». Au final, une solution a été livrée en utilisant User Management Resource Administrator (UMRA), accompagnée d’environ 30 heures de prestation, ce package répondant parfaitement à leurs besoins.

Voici un bref aperçu de la solution:

  •     Un parent se présente à l’école et demande un compte pour accéder aux données de son/ses enfant (s).
  •     Un secrétariat où l’administrateur vérifie les identités et entre les informations pertinentes dans une page Web, comprenant :

Nom
Type d’identifiant, numéro et date d’expiration
Numéro(s) de téléphone (s)
Adresse
E-mail

  •     Le secrétariat cherche alors le nom d’utilisateur de l’étudiant ou les critères d’identités de l’étudiant, et vérifie avec le parent que le nom correct est affiché.
  •     L’individu clique ensuite sur le bouton « Enregistrer Parent »   et, si aucun doublon n’est trouvé, le dossier est créé dans l’Active Directory, ainsi que dans le système d’information des étudiants, et un lien entre le parent et l’enfant est créé.
  •     Un mot de passe temporaire est fourni et le secrétariat enregistre les informations, ainsi que le nom d’utilisateur, et le fournit aux parents.

Dans le cadre de ce projet, Self Service Reset Password Manager (SSRPM) a également été déployé pour les parents afin de leur permettre de s’inscrire et de réinitialiser leur mot de passe via des questions d’identification, et d’éviter une charge de travail inutile au  personnel du support technique.

Des formulaires Web supplémentaires ont été livrés pour permettre au personnel administratif de réinitialiser les mots de passe pour les comptes des parents, de vérifier leur statut d’inscription SSRPM, d’exécuter des rapports de dernière connexion, désactiver les comptes, de mettre à jour les comptes et les rapports sur les inscriptions SSRPM.

Depuis le déploiement du système, plus de 100.000 parents ont été admis et peuvent accéder aux dossiers de leur enfant en toute simplicité. La « paperasserie », utilisée par l’ancien processus a été éliminée et, par le biais de SSRPM, la charge supplémentaire de travail  au helpdesk  est inexistante.

Cliquez ici pour en savoir plus sur les solutions TOOLS4EVER

Migration Active Directory: Sept Méthodes pour le Nettoyage de l’Annuaire

Souvent les outils de migration de l’annuaire AD copient les données existantes unes à unes ce qui a pour effet de copier la pollution également. Un nettoyage de l’annuaire s’impose, soit avant la migration ou bien après pour avoir enfin un Active Directory propre et à jour.

Les outils de gestion des identités et des accès peuvent aider. Notamment des outils flexibles comme par exemple UMRA, car même si ils ne réalisent pas la migration à proprement parler, c’est parfait pour faire des opérations pré et post “nettoyage” dans le but de faciliter le processus et s’assurer que vous ne perdez pas de temps.

En quelques jours UMRA aide les administrateurs pour :

  • Nettoyer les comptes inactifs avant la migration pour ne pas avoir à les basculer.
  • Créer des rapports détaillés sur les affiliations aux groupes vers des bases de données ou des fichiers CSV pour pouvoir les recréer dans un nouvel environnement sans avoir à les ressaisir manuellement.
  • Créer des rapports détaillés sur les groupes inutilisés (groupes sans membres) pour ne pas avoir à les migrer.
  • Nettoyer les noms des groupes avant la migration, respecter une convention de nommage pour les groupes en utilisant de nouvelles règles pour tous les groupes. En général 2 domaines ont des conventions de nommage différentes, UMRA peut s’assurer que tous les groupes utilisent la même pour éviter d’éventuels conflits pendant la migration à proprement dit.
  • Nettoyer les noms des utilisateurs après la migration en se connectant à un système RH ou à une extraction du système RH, pour s’assurer que tous les comptes migrés soient tous propres.
  • Remplir les attributs non utilisés au préalable par exemple « titre », « service », « bureau », après que la migration soit terminée.
  • Utiliser les informations contenues dans des rapports disponibles depuis une base de données ou un fichier CSV sur les affiliations aux groupes pour créer en masse une nouvelle structure de permissions dès que la migration est terminée. Si le domaine source utilisait des groupes par département et le domaine cible utilisait des groupes par localité, vous pouvez simplement tous copier et fusionner. UMRA peut être utilisé pour créer les groupes manquants vers les domaines sources/cibles et lier ces groupes à des comptes utilisateurs.

Imaginez un patient existant deux fois dans le SIH en raison d’une faute de frappe ou d’une autre erreur. Cela signifie que ce patient a deux dossiers médicaux contenant des informations différentes. Les médecins peuvent alors manquer des informations importantes s’ils n’ont pas accès au dossier complet du patient. Ainsi, un patient allergique à la pénicilline pourrait recevoir un traitement à base de pénicilline à cause d’une erreur de saisie dans le SIH.

À l’aide des processus et des outils utilisés pour la gestion des identités, comme la solution UMRA de TOOLS4EVER, et en tirant profit de la capacité d’UMRA à détecter des doublons existants ou éventuels dans différents systèmes, on pourrait « sauver des vies ».
À ce titre, les différents processus de rapprochement disponibles dans UMRA facilitent cette tâche et permettent de détecter très tôt un doublon éventuel et d’envoyer une notification à la personne qui gère les données afin de valider s’il s’agit bien du même patient. UMRA peut évidemment aussi gérer toute la partie traçabilité relative aux alertes remontées et la manière dont elles ont été traitées.

Pour en savoir plus, cliquez ici.

Gestion automatique des tickets du service support informatique pour les comptes utilisateurs et droits d’accès

En général, un chef de service utilise ces formulaires Web pour annoncer l’arrivée ou le départ d’un employé. Il peut demander la création d’un compte, d’une boîte aux lettres, ou encore des droits d’accès à des fichiers partagés ou à certaines applications.

À la fin du formulaire ou du workflow, un ticket est envoyé au service support informatique, qui va alors créer le compte et les ressources ou demander que cela soit fait par les administrateurs système.

Ce travail manuel prend du temps et il peut s’avérer source d’erreurs car d’une part, les données sont entrées directement dans Active Directory ou dans d’autres systèmes, et d’autre part, il s’agit d’une double saisie des données car celles-ci l’ont déjà été par le demandeur.

Outre l’existence au sein même de la solution UMRA d’un système de gestion du workflow et d’un outil de création des formulaires Web, cette solution peut aussi être déployée dans un contexte pré-existant afin d’optimiser et d’automatiser au maximum le processus de gestion des comptes utilisateurs.

Ainsi, dans le cas d’une institution financière, UMRA a été configurée pour traiter automatiquement tous les nouveaux tickets liés aux utilisateurs, ainsi que leurs droits et leurs ressources.

Les avantages :

  • un temps de mise en œuvre court de 2 jours pour traiter automatiquement tous les tickets liés à des utilisateurs et à des droits d’accès ;
  • un gain de temps important pour les administrateurs ;
  • la garantie que toutes les normes sont respectées ;
  • l’inutilité de saisir les mêmes données deux fois, avec des erreurs possibles ;
  • la possibilité de traiter des demandes dans différents systèmes (Active Directory, système de messagerie, bases de données et applications).

De cette façon, toutes les informations disponibles à partir de la demande sont utilisées de façon optimale.

Dans ce genre de situation, les formulaires Web gérés par l’Intranet de l’entreprise ne sont souvent pas dynamiques, ce qui peut éventuellement être un inconvénient.
Ainsi, les données de configuration telles que les différents services existant dans l’entreprise, les groupes ou les unités organisationnelles dans Active Directory, ainsi que la relation entre un employé et son supérieur hiérarchique doivent être gérées séparément et souvent manuellement.

Tout à l’inverse des formulaires UMRA qui sont entièrement dynamiques et capables de récupérer des informations dynamiquement à partir d’Active Directory ou le système des RH, afin de créer les listes déroulantes mises à jour automatiquement dans les formulaires utilisés.

Cliquez ici pour en savoir plus sur la solution UMRA

Authentification forte à deux facteurs

La réinitialisation des mots de passe en mode self-service a toujours été disponible avec l’outil SSRPM de Tools4ever. Le bouton « Mot de passe oublié… » sur l’écran de connexion de Windows ou l’interface Web permet aux utilisateurs finaux de réinitialiser leur mot de passe Active Directory à l’aide de quelques questions de sécurité simples et prédéfinies.

Même si SSRPM a été largement adopté dans les entreprises et les établissements d’enseignement, un mode d’authentification à deux facteurs a été demandé par beaucoup de nos clients.
Le 18 février dernier, Tools4ever a sorti un nouveau module de sécurité pour SSRPM qui ajoute la fonctionnalité d’authentification à deux facteurs par e-mail. L’authentification à deux facteurs (TFA ou 2FA) consiste à utiliser deux moyens indépendants de preuves pour confirmer l’identité d’une entité vis-à-vis d’une autre.

Lorsqu’un utilisateur se connecte sur le domaine Active Directory pour la première fois suite au déploiement SSRPM et qu’il répond à une question posée configurée par l’administrateur, il est également invité à fournir une adresse e-mail privée. Si cet utilisateur final vient ensuite à oublier son mot de passe, il lui suffit de répondre aux questions de sécurité. Toutefois, pour pouvoir atteindre la phase finale et soumettre une demande de nouveau mot de passe, il doit d’abord saisir le code PIN qui a été envoyé par courrier électronique à son adresse personnelle.

Ce scénario illustre les éléments de base de la plupart des systèmes d’authentification à deux facteurs, à savoir le concept de «quelque chose que vous avez » + « quelque chose que vous savez ».

L’authentification à deux facteurs sécurise déjà l’interface Web. Mais Tools4ever a l’intention d’étendre encore cette fonctionnalité en permettant la transmission du code PIN sur les téléphones mobiles par SMS. Surveillez cet espace pour de plus amples informations !

Cliquez ici pour en savoir plus sur SSRPM

SOX et la Gestion des Accès

Quand nous discutons avec des spécialistes de la DSI sur les problèmes de gestion des identités et des accès, nous avons régulièrement affaire à des compagnies qui doivent se conformer à la législation SOX.

Ceci a généralement un impact important sur les processus mis en place par l’organisation en général et le département informatique en particulier, surtout en ce qui concerne la gestion des droits d’accès.

Les trois problèmes les plus fréquemment rencontrés sont :

1. Le workflow et la validation des droits d’accès :

Qu’il s’agisse d’un compte régulier sous Active Directory, de droits NTFS, de groupes au sein d’Active Directory, d’un compte e-mail ou de  toute autre application, toutes les demandes et validations doivent se conformer aux lois SOX, ce qui peut signifier que, de façon à créer un compte utilisateur, le Département informatique aura besoin de signatures en cascade  (la signature du demandeur, du N+1 et du responsable informatique).

Nous avons rencontré des compagnies où ces processus sont sous forme papier et à chaque audit SOX, le département informatique va passer des jours, voire des semaines à rechercher les documents exigés par l’auditeur. Un système de gestion automatisée du workflow tel qu’UMRA (User Management Resource Administrator) peut automatiser toutes les étapes de validation et transformer un audit SOX en une partie de plaisir pour la DSI.

Au lieu d’avoir des demandes écrites qui s’égarent en cours de chemin et des salariés qui attendent leurs droits d’accès, UMRA va automatiquement alerter les personnes habilitées à donner les autorisations  et ces dernières pourront d’une simple action valider une demande avant qu’elle ne soit automatiquement transmise à la personne suivante ou au département informatique pour accord.

2. La traçabilité

Évidemment toute demande d’accès ou d’autorisation d’accès doit pouvoir être « tracée » aisément. C’est une caractéristique de la solution de gestion des identités et des accès de Tools4ever.

3. La séparation des tâches

Un des aspects de la législation SOX est que certaines tâches ne doivent pas pouvoir être effectuées par une seule et même personne. Par exemple une commande peut être passée par X mais ne pourra être validée que par Y. Cela aura des conséquences au niveau de la gestion des accès dans la mesure où cela implique d’avoir accès uniquement à certaines données et donc les droits d’accès à chaque application doivent être fortement sécurisés.

En termes de gestion des accès cela veut dire que le système doit automatiquement se verrouiller  et/ou alerter si deux autorisations sont octroyées à un seul et même utilisateur. Ceci est facile à réaliser avec le système de gestion des identités et des accès de Tools4ever ; il est juste nécessaire de savoir quelles autorisations ne peuvent pas se combiner et le programme gérera automatiquement les droits d’accès.

N’hésitez pas à contacter votre bureau Tools4ever le plus proche si vous avez des questions concernant les exigences imposées par la Loi SOX en matière d’informatique et de gestion des accès et des identités.

Autoprovisionnement des Comptes Utilisateurs

Dans combien de systèmes votre organisation doit-elle gérer manuellement les comptes utilisateurs et combien de temps et de tracas un système d’autoprovisionnement vous épargnerait-il ?

Chaque société de 500 salariés ou plus peut être un jour confrontée à la situation suivante : Les techniciens du service informatique passent un temps considérable  à gérer les  comptes utilisateurs au sein des différents systèmes et vous sentez intuitivement qu’il existe un processus plus simple et plus rapide.

Imaginez une organisation de 5000 utilisateurs et tous les différents systèmes au sein desquels doivent être gérés les comptes utilisateurs. De tels systèmes sont, par exemple :

  • L’annuaire central (souvent Active Directory, parfois Novell ou open LDAP)
  • Le système e-mail (Exchange, Lotus Notes ou d’autres)
  • Le système ERP (SAP, Siebel, Oracle, AS400 etc…)
  • Un système CRM (par exemple Salesforce)
  • Le système téléphonique (Cisco, Avaya, Alcatel, etc…)
  • Un Système Helpdesk (GLPI, HP Openview, BMC Remedy, etc…)
  • Le portail intranet de la Société
  • Le système de gestion des documents (DMS)

Il s’agit d’une liste non exhaustive des applications les plus communément utilisées, mais il y en a beaucoup plus, et en fonction du nombre d’utilisateurs que comporte chacune de ces applications  et de leur niveau d’intégration avec l’Active Directory (authentification LDAP), le nombre réel de comptes utilisateurs gérés au sein de l’organisation peut facilement s’élever à 20 voire 25.000.

Indépendamment de la charge de travail que cela représente, désactiver, supprimer ou modifier ces comptes utilisateurs manuellement est souvent une tâche fastidieuse et génératrice d’erreurs. Si l’on considère de surcroît  la sécurité et la standardisation, les procédures gérées manuellement peuvent être synonymes de mauvaises surprises en cas d’audit.

Voici précisément où le provisionnement automatique des comptes utilisateurs entre en jeu  Le but de ce principe est simple : Avoir un système central à partir duquel les comptes utilisateurs sont gérés automatiquement autant que faire se peut. La solution UMRA (User Management Resource Administrator) de Tools4ever permet de régler le problème selon le schéma suivant :

  • Délégation Helpdesk : Une façon centralisée de gérer les comptes utilisateurs (création, modification, désactivation, suppression) avec des formulaires web simple pour gérer les comptes AD, les droits NTFS et les comptes e-mail).
  • Synchronisation avec le système RH. Création automatique des comptes des salariés entrants et désactivation, suppression  des comptes des salariés sortants.
  • Délégation des formulaires web au sein de l’organisation. Les managers peuvent à présent lancer le processus d’autoprovisionning avec les mêmes formulaires web. Le SI peut agir comme validateur
  • Fonctionnalité de gestion du Workflow : un système évolué de gestion des workflows  de bout en bout.
  • Self-Service : Un mode de fonctionnement en self service permettant aux utilisateurs finaux de gérer eux-mêmes certains de leurs besoins informatiques.

Si votre société galère toujours avec la gestion manuelle des comptes utilisateur, n’hésitez pas à contacter Tools4ever.

Réduire le nombre de mots de passe grâce à « Password Synchronisation Manager » (PSM) et « Single Sign On » (ESSOM)

Régulièrement des spécialistes des services informatiques me demandent comment réduire le nombre de mots de passe au sein de leur organisation. Leur première idée/approche est que, afin de minimiser la multiplication des mots de passe, ces derniers soient synchronisés sur différentes applications.

C’est effectivement une possibilité mais ce n’est pas la seule, ni, loin s’en faut, la meilleure solution. Dans ce blog j’aimerais dans un premier temps présenter les avantages et les inconvénients d’un système de synchronisation des mots de passe pour en réduire le nombre. Mais également évoquer  une autre option disponible pour résoudre ce type de problème, à savoir un logiciel d’authentification unique (SSO), tel que E-SSOM de Tools4ever.

Tout d’abord, bien que l’idée de synchroniser des mots de passe soit censée (en théorie) réduire le nombre de mots de passe de l’utilisateur final, en pratique, pour que cela fonctionne, un certain nombre de conditions doivent être remplies :

  1. Le système de synchronisation des mots de passe (par exemple PSM – Password Synchronisation Manager – de Tools4ever) doit être capable de relier le nom de l’utilisateur de l’application au nom de ce même utilisateur tel qu’il figure dans le répertoire de la Société (tel que ‘Active Directory’). Ceci n’est pas toujours possible car de nombreuses applications limitent le nombre de caractères du nom de l’utilisateur ou requièrent une convention de nommage différente.
  2. Chaque application doit permettre une modification  automatisée de son mot de passe en cas de changement de mot de passe au niveau de l’Active Directory. Cela requiert souvent un connecteur spécifique ou API. Là encore, la règle de complexité du mot de passe de l’application doit être en conformité avec celle du répertoire central (central directory). Etant donné que de nombreuses applications n’autorisent pas des mots de passe complexes, cela implique de réduire la complexité des mots de passe au niveau de l’Active Directory. Bien que pas impossible, cela n’est néanmoins pas toujours souhaitable pour l’entreprise.

Pour résumer, toutes ces conditions impliquent que la DSI doive souvent démarrer un projet spécifique pour créer l’environnement requis à la synchronisation des mots de passe. Cela nécessite du temps et des ressources et parfois même de changer  l’ID et le mot de passe  des utilisateurs finaux, c’est-à-dire : Précisément ce que l’on souhaite éviter !

Une autre option, souvent plus facile à mettre en œuvre, est la solution Entreprise Single Sign On Manager (E-SSOM). Bien que reposant sur un mécanisme entièrement différent, la solution Enterprise-SSO reconnait les écrans de connexion des différentes applications et les remplit automatiquement. Le résultat pour l’utilisateur final est identique à celui d’une synchronisation réussie des mots de passe. Il n’a plus de mots de passe différents à mémoriser et, encore mieux, plus de login/mots de passe différent à rentrer pour chaque application.

Dans le cas d’Entreprise SSO Manager (E-SSOM) :

  1. Les conditions pré-requises, énumérées ci-dessus, pour la synchronisation des mots de passe ne sont plus nécessaires.
  2. Aucun changement à apporter dans la configuration login/mot de passe.
  3. Pas besoin d’API ou autres connecteurs pour accéder à l’application concernées.
  4. E-SSOM fonctionne avec n’importe quel type d’application ou mode d’authentification.

Cela rend la solution E-SSOM très souvent préférable à celle de la synchronisation des mots de passe. Pour faire simple je dirais que si vous n’avez qu’une ou deux applications à synchroniser, et que toutes les conditions préalables ont été remplies, alors vous pouvez opter pour la synchronisation des mots de passe (Password Synchronisation Manager). Mais dès que toutes les conditions préalables ne sont  pas en place originellement ou si la Société souhaite synchroniser d’avantage d’applications, alors Enterprise SSO Manager (E-SSOM) est certainement la solution la plus appropriée en terme de facilité de mise en œuvre et d’extensibilité.

Pour en apprendre d’avantage sur E-SSOM et PSM connectez-vous sur :

www.tools4ever.fr