Archives du mot-clef délégation

Optimiser la Gestion des Groupes de Sécurité Active Directory avec des outils

Votre réseau et votre organisation prenant de plus en plus d’ampleur, le nombre de groupes de sécurité Active Directory augmente sensiblement. Au fil du temps, il n’est donc pas rare de voir ces groupes devenir plus compliqués à gérer pour le service informatique.

UMRA (User Management Resource Administrator) offre un large éventail de possibilités pour simplifier et optimiser la gestion des groupes, peu importe que ceux-ci contrôlent les accès aux applications, les listes de distribution, l’accès aux partitions réseaux ou autres…

Quelques possibilités offertes par notre outil :

Délégation de la gestion de groupes
Une des principales fonctionnalités d’UMRA Web Interface est la gestion de groupes. Elle est offerte à des utilisateurs non-techniques (non-administrateurs) comme par exemple le personnel du Helpdesk ou des utilisateurs ne possédant pas les droits sur l’Active Directory, le tout s’effectuant grâce à une interface web simple et intuitive (voire image). Il est alors possible de voir tous les membres d’un groupe d’un seul coup, d’ajouter ou d’enlever plusieurs utilisateurs d’un simple clic ou même de sélectionner un utilisateur afin d’afficher ou de modifier son appartenance à des groupes en quelques secondes. De nouveaux groupes peuvent aussi être créés et gérés à la volé.

Self-Service et Workflow avec validation par le responsable du groupe de sécurité
Il devrait être possible pour le responsable d’un groupe d’ajouter ou d’enlever des utilisateurs directement, certains groupes nécessitant une validation par le responsable du groupe AD spécifique. Tout ceci est possible avec UMRA par un processus simple de validation automatique (voir image). Le responsable du groupe de sécurité reçoit une notification par e-mail avec un lien lui permettant de voir immédiatement la requête et de la valider (ou non) en un clic.
Cela s’avère particulièrement utile dans le cadre, par exemple, d’une délégation de la gestion de certains groupes aux managers, et peut être mis en place pour fournir un processus de requêtes d’accès en Self-Service aux utilisateurs.

Gestion de groupes automatisée
Une troisième possibilité revient à gérer automatiquement les groupes Active Directory en accord avec les paramètres du compte AD comme le lieu, le département, l’intitulé du poste de l’utilisateur ou des rôles spécifiques.

Pour plus d’informations sur la gestion des groupes active directory avec UMRA, contactez le bureau Tools4ever le plus proche.

Les Mairies Europeennes utilisent UMRA pour la gestion de leur Active Directory

En utilisant un outil de délégation, les services informatiques des Mairies Européennes gagnent beaucoup en temps, efficacité et sécurité…

J’ai travaillé avec des dizaines de mairies Européenne et les Responsables Informatique (DSI) sont en général d’accord sur le fait que la gestion des comptes utilisateurs avec les outils natifs de Microsoft pose des problèmes. Surtout à partir d’un nombre d’utilisateurs au dessus de 300. Les  7 problèmes les plus fréquemment rencontrés chez les Mairies Européennes sont  :

 

  •     La gestion des comptes utilisateurs et la gestion des accès prend beaucoup de temps (création, changements de compte/accès, désactivation, stagiaires, comptes ou accès temporaires etc.)
  •     Tout le monde Administrateur ! par manque d’un système de délégation convenable la gestion d’Active Directory doit être faite avec un compte administrateur, les DSI des Mairies déplorent souvent le fait que trop de personnes aient besoin du mot de passe administrateur.
  •     La gestion manuelle est cause d’erreurs, délais, ou comptes non conformes à la politique de la Mairie (politique de nommage, politique de sécurité)
  •     Beaucoup de collaborateurs ont plus d’accès autorisés qu’ils n’en ont besoin (problèmes de sécurité, coûts de licences), parfois même lorsque la personne a déjà quitté la Mairie
  •     Insatisfaction des clients en interne à cause des délais/erreurs.
  •     Chaque utilisateur doit être créé parfois manuellement sur plusieurs systèmes, bases de données et annuaires…: Active Directory, LDAP, Oracle/SQL, autres systèmes
  •     Il n’est souvent pas possible de faire du reporting pertinent sur les accès. La question ‘qui a droit où?’ se pose fréquemment. Pouvoir y répondre correctement est rare.

La Solution qu’utilisent les Mairies Europeennes
En utilisant un outil comme UMRA (User Management Resource Administrator), de Tools4ever, les Mairies Européennes ont réalisées en quelques jours des grands résultats. En effet, il est possible de déléguer toute tâche au niveau de l’Active Directory (ou autre annuaire /base de données) d’une manière sécurisé sans que la personne ait besoin d’un compte administrateur ou des compétences informatiques particulières. Ainsi la délégation peut se faire aux différents niveaux, selon la stratégie de la DSI de la Mairie et la maturité en matière d’Identity Management.

Où Déléguer ?
– Au niveau informatique vers le support niveau 0 ou 1. Résultats : gestion rapide et standardisée, sans besoin de compte administrateur ou des compétences Active Directory.
– Au niveau du service RH (en général c’est le service RH qui est informé de l’arrivée ou le départ d’un collaborateur avant le service informatique) Il y a également la possibilité de lier UMRA directement au SIRH (système d’informations RH), pour que les comptes utilisateurs et accès soient gérés en temps-réel avec le moins d’effort manuel possible. Ceci évite aussi la saisi en double des données.
– Au niveau des Chefs des Services. Le chef de service sait exactement quand un nouveau collaborateur arrive et de quoi il a besoin (ressources, répertoires, applications) pour faire son travail, et est le premier à savoir quand la personne quitte la Mairie.

Fonctionnement
La solution que beaucoup de Mairies utilisent est basé sur d’une coté des formulaires électroniques (demande de création de compte, changement de compte/droits, désactivation de compte, reset de mot de passe, reporting etc.) et, d’une autre coté, des scénarios UMRA etc tout cela en fonction de la politique et stratégie de la Mairie. Par exemple le scenario de ‘création de compte’ peut consister en la création d’un compte Active Directory avec, adresse email, homedrive, certain droits/groupes Active Directory etc tous selon la politique de nommage (standards) et de sécurité (qui a droit à quoi?) de la Mairie.
Les formulaires UMRA déclenchent des scénarios UMRA qui sont exécutés par le Service UMRA, dans Active Directory, Exchange, NTFS ou d’autres systèmes encore.

Les Mairies rencontrent les problèmes cités au dessus ne doivent pas attendre qu’un miracle se passe, pour gérer leurs comptes utilisateurs d’une manière performante, sécurisée, tout en augmentant le service aux clients interne, selon des procédures modèles. La mise en œuvre d’UMRA pour une Mairie prends quelques jours grâce à l’expérience de Tools4ever avec des implémentations pour des mairies allant de formulaires de délégation simples, jusqu’aux workflows complets avec système de gestion d’identité et d’accès complet.

N’hésitez pas à revenir vers moi si vous désirez en savoir plus sur ce sujet. Je suis joignable par téléphone chez Tools4ever au 01 53 43 29 55 ou par email à p.baas@tools4ever.com .

Un Portail libre service pour toutes les demandes informatiques

Le challenge est évident :
L’organisation veut avoir accès, facilement et rapidement, aux services et ressources que proposent le Service Informatique, et…le service informatique a la responsabilité de garantir la sécurité et la stabilité. Dans la pratique ces intérêts paraissent souvent contradictoires, mais cependant, il est toujours possible de proposer des solutions offrant plus de services à l’ensemble de l’organisation sans pour autant que cela soit source de problèmes pour les informaticiens. Il est même possible de faire profiter le service informatique de cette même solution.

Le scénario :
L’organisation voudrait être capable de faire une demande de compte utilisateur pour des collaborateurs externes, et voudrait que ces comptes soient actifs immédiatement.

De plus les collaborateurs voudraient plus rapidement avoir accès à leurs applications, sans se perdre dans des discours interminables entre leur manager ou le service informatique (va et vient entre les différents services).

Comment cela marche aujourd’hui ?
Pour les collaborateurs temporaires il y a en général une procédure ou un formulaire (papier) devant être rempli, et qui en passant en premier lieu par le service RH arrive finalement au service informatique. Là, on constate souvent qu’il y a des données qui manquent, ce qui provoque des appels pour clarifier de quoi le nouveau collaborateur a besoin « exactement ».
Ensuite la demande risque de trainer parce que l’administrateur d’une des applications doit encore valider les autorisations pour le système financier (par exemple) pour lequel il a besoin de l’autorisation d’un autre service.

Ceci est juste un exemple, qui montre que souvent les demandes venant de l’organisation requièrent l’intervention de plusieurs personnes, avec à chaque étapes une validation et exécution par le service informatique. Parce qu’il s’agit d’une procédure manuelle, l’informatique peut aussi jouer le rôle de process-manager, et doit contrôler la continuité, la qualité et la communication.

Comment optimiser ?
Il est possible de créer un portail self service (web-shop) sécurisé et personnalisé où les collaborateurs de l’organisation eux-mêmes peuvent faire des demandes électroniques (e-forms). Une demande peut passer par une ou plusieurs validations avant d’arriver au service informatique. Logique n’est-ce pas ? Et comme ca on traduit techniquement le scénario/procédure.
Mais on peut facilement aller plus loin. Toutes les personnes qui ont accès au portail self-service peuvent à chaque moment suivre le statut de la demande, qui doit faire la prochaine action et aussi qui a validé quoi.

Le portail self service s’adaptera automatiquement à la structure de l’organisation, si ce dernier est connecté au système RH. Le portail self service pourrait y trouver automatiquement la relation entre un collaborateur et son manager. Mais aussi d’autres informations pertinentes aux services (intitulé de poste, centre de coûts…) et les montrer sur le formulaire électronique.
Ainsi on respecte la hiérarchie de l’organisation et en même temps cela permet de personnaliser les formulaires de telle manière que toutes les bonnes informations arrivent au bon moment au service informatique.

Le service informatique qui reçoit la « commande » peut ainsi s’assurer qu’elle est correcte, qu’elle est validée par le responsable et que les informations arrivent au bon moment, car les demandes arrivent automatiquement et nominativement.
Ces trois points : « correct/complet », « validé » et « à temps » rendent la réalisation beaucoup plus facile pour les administrateurs. Les communications et confirmations sont gérées automatiquement par le portail libre service (web shop).

Cliquez ici pour voir les possibilités du portail self service ou pour voir une démo du « web-shop ».