Archives du mot-clef gestion des identités et des accès

Utiliser une interface web simple et intuitive afin de gérer les comptes utilisateurs dans Active Directory et d’autres systèmes/applications

Utiliser l’interface administrateur d’Active Directory afin de gérer les comptes utilisateurs et les droits d’accès présente de nombreux désavantages, comme par exemple :

  • Sécurité : les utilisateurs doivent être connectés avec des droits administrateurs et généralement les droits administrateur de domaine.
  • L’interface native d’Active Directory Utilisateurs et Ordinateurs que Microsoft propose n’est pas très intuitive : un grand nombre d’onglet à parcourir, d’attributs à gérer et de clics à effectuer rendent le processus sujet aux erreurs et aux oublis.
  • Le respect des standards comme la nomenclature interne ou les profils de gestion de groupes est très complexe à contrôler dès lors que la création, modification ou désactivation de comptes sont effectuées par plusieurs personnes.
  • Temps : créer, modifier et nettoyer les comptes au sein d’active directory prend un temps considérable du fait que bon nombre d’actions sont réalisées manuellement.
  • Ressources : gérer les comptes utilisateurs Active Directory n’est pas le travail le plus passionnant, les tâches sont répétitives et le plus souvent effectuées par des administrateurs senior à cause des niveaux de droits requis.

Mettre en place une interface web simple et intuitive pour la gestion des utilisateurs Active Directory

Avec un outil comme UMRA, il est possible de mettre en place une interface web pour gérer les comptes utilisateurs et les droits d’accès au sein d’Active Directory et d’autres systèmes/applications comme Lotus Notes, AS400, SAP, Office 365, Google Apps etc…

Une telle interface peut être installée et paramétrée aux besoins du client en 2 à 3 jours.

Les avantages sont les suivants :

Une interface simple qui permet à n’importe qui, et ce sans la moindre connaissance d’Active Directory, de créer, modifier et désactiver des comptes utilisateurs.

Sécurité : Aucun besoin de donner les droits administrateurs pour déléguer des tâches spécifiques

Respect de vos standards : la nomenclature et la gestion des attributs d’Active Directory sont automatiques et garantis. L’interface ne nécessite que le nom et le prénom de l’utilisateur ainsi qu’un ou deux champs à sélectionner. Les standards et les règles sont configurés dans les outils en amont de telle sorte qu’ils sont automatiquement respectés.

Temps : tout cela génère du temps libre pour les administrateurs senior et rend la gestion des utilisateurs dix fois plus rapide et plus efficace.
Possibilité d’ajouter des étapes de validation dans le workflow, et même de déléguer la gestion des utilisateurs aux chefs de services.

L’interface web d’UMRA pour Active Directory permet aussi de gérer les comptes non Active Directory comme par exemple AS400, SAP, Lotus Notes, Google Apps, Office 365, Salesforce etc…

Si vous désirez voir l’efficacité et la simplicité de l’interface web pour Active Directory dans votre organisation, contactez simplement le bureau Tools4ever le plus proche et demandez une démonstration.

Optimiser la Gestion des Groupes de Sécurité Active Directory avec des outils

Votre réseau et votre organisation prenant de plus en plus d’ampleur, le nombre de groupes de sécurité Active Directory augmente sensiblement. Au fil du temps, il n’est donc pas rare de voir ces groupes devenir plus compliqués à gérer pour le service informatique.

UMRA (User Management Resource Administrator) offre un large éventail de possibilités pour simplifier et optimiser la gestion des groupes, peu importe que ceux-ci contrôlent les accès aux applications, les listes de distribution, l’accès aux partitions réseaux ou autres…

Quelques possibilités offertes par notre outil :

Délégation de la gestion de groupes
Une des principales fonctionnalités d’UMRA Web Interface est la gestion de groupes. Elle est offerte à des utilisateurs non-techniques (non-administrateurs) comme par exemple le personnel du Helpdesk ou des utilisateurs ne possédant pas les droits sur l’Active Directory, le tout s’effectuant grâce à une interface web simple et intuitive (voire image). Il est alors possible de voir tous les membres d’un groupe d’un seul coup, d’ajouter ou d’enlever plusieurs utilisateurs d’un simple clic ou même de sélectionner un utilisateur afin d’afficher ou de modifier son appartenance à des groupes en quelques secondes. De nouveaux groupes peuvent aussi être créés et gérés à la volé.

Self-Service et Workflow avec validation par le responsable du groupe de sécurité
Il devrait être possible pour le responsable d’un groupe d’ajouter ou d’enlever des utilisateurs directement, certains groupes nécessitant une validation par le responsable du groupe AD spécifique. Tout ceci est possible avec UMRA par un processus simple de validation automatique (voir image). Le responsable du groupe de sécurité reçoit une notification par e-mail avec un lien lui permettant de voir immédiatement la requête et de la valider (ou non) en un clic.
Cela s’avère particulièrement utile dans le cadre, par exemple, d’une délégation de la gestion de certains groupes aux managers, et peut être mis en place pour fournir un processus de requêtes d’accès en Self-Service aux utilisateurs.

Gestion de groupes automatisée
Une troisième possibilité revient à gérer automatiquement les groupes Active Directory en accord avec les paramètres du compte AD comme le lieu, le département, l’intitulé du poste de l’utilisateur ou des rôles spécifiques.

Pour plus d’informations sur la gestion des groupes active directory avec UMRA, contactez le bureau Tools4ever le plus proche.

Comment les utilisateurs peuvent-ils se connecter à une application via Active Directory et sans connecteur LDAP ?

Q : Est-il possible d’appliquer une politique de complexité de mot de passe sur des applications qui ne le supportent pas ? Et sans connecteur LDAP pointant vers l’Active Directory pour l’authentification ?

R : Il s’agit d’un des nombreux problèmes rencontrés dans le processus de gestion des mots de passe, les plus vieux systèmes ayant pour la plupart des stratégies de complexité de mots passe obsolètes voire inexistantes. De surcroit, le connecteur LDAP n’est pas forcement disponible et l’application peut se trouver dans l’impossibilité de demander des mots de passe complexes aux utilisateurs.

Notre solution de gestion de mots de passe E-SSOM vous offre trois manières différentes de résoudre cette problématique :
1.Il est possible de laisser l’utilisateur se ré-authentifier à l’Active Directory dès qu’il tente de se connecter à une de ses applications en utilisant E-SSOM. Au lieu de demander les identifiants pour l’application, l’utilisateur s’authentifie simplement sur l’AD et est automatiquement connecté à son application. Un processus simple, augmentant la sécurité sans accroître le nombre de mots de passe complexes que l’utilisateur doit retenir, et ne nécessitant aucun connecteur LDAP.

2.E-SSOM peut aussi forcer l’utilisateur à se créer un mot de passe pour sa prochaine connexion et d’y appliquer des stratégies de complexité même si l’application ne le permet pas. Cette solution peut être implémentée de manière à ce que l’utilisateur soit connecté automatiquement à l’application (plus de mots de passe complexes à retenir), les mots de passe restant complexes et surs au sein de l’application.

3.E-SSOM peut aussi générer des mots de passe complexes et aléatoires, dans la limite des possibilités offerte par l’application. Cette solution est complétement transparente pour l’utilisateur qui n’a qu’à cliquer sur l’application pour qu’E-SSOM complexifie son mot de passe. Il se connecte par la suite de manière automatique tout en gardant la complexité de son mot de passe dans l’application.

Il existe beaucoup d’autres cas dans lesquels la gestion des mots de passe combinée aux solutions de Single Sign On permet d’augmenter significativement le niveau de sécurité, sans surcharger les utilisateurs avec des mots de passe complexes. Les consultants techniques de Tools4ever sont des experts sur la question de la Gestion des Accès et des Identités et peuvent vous aider à trouver la solution adéquate.

Gestion automatique des comptes utilisateurs à partir d’un SIRH

J’ai animé un atelier de travail au Pays-Bas il y a quelques mois par rapport à la gestion des identités et des accès. La première partie de l’atelier était centrée sur une étude de cas d’identity management pour une organisation dans le secteur de la santé, présentée par un de nos clients…

La deuxième partie de l’atelier consistait en une session interactive dans laquelle je répondais à différentes questions par rapport à la gestion d’identités. Dans cet article j’aimerais revenir sur un des sujets traités car, il y’eu un grand intérêt de la part de l’auditorium pour ce thème.

La question redondante était ‘Quels sont les conditions à remplir avant d’implémenter un auto-provisioning à partir d’un SIRH ?’ comme par exemple SAP HR, Peoplesoft, Sage, HR Access, Sigma-RH, Cegid etc.

Qu’est-ce qu’un connecteur d’auto-provisioning avec un SIRH ?
Il s’agit d’un connecteur qui détecte chaque changement dans le système RH, et gère ensuite les impacts de ces modifications dans le réseau informatique. Par exemple : un nouveau collaborateur intègre l’organisation et le service RH le saisit dans le système RH (par exemple Peoplesoft). Le système RH contient les noms et l’adresse de l’employée, mais aussi la date d’embauche, le type de contrat, le service ou il va travailler, le salaire etc. Quand le lien avec le Système RH détecte le changement, le compte utilisateur est créé dans le réseau informatique. Ainsi, le nouveau collaborateur peut dès son premier jour de travail se connecter au réseau, envoyer des emails, et accéder aux répertoires et applications de son service. Le même type de modification peut être effectué par rapport au changement de service, de poste, ou de lieu de travail.

Enfin, un compte utilisateur peut aussi être désactivé (ou démonter) ce qu’on appelle ‘de-provisioning’.

Les exigences du système RH
Quels sont maintenant les exigences pour intégrer avec succès un outil de provisioning avec un système RH? Il est clair que l’auto-provisioning a beaucoup d’avantages pour le service informatique : tout le processus de gestion de compte utilisateur peut quasiment être effectué automatiquement sur la base d’une source de confiance. C’est cette dernière qui contient les informations essentielles comme le salaire et, est gérée avec beaucoup de précision par le service RH, qui doit être bien organisé au niveau administratif.

A cause de ces avantages immédiats pour le service informatique et par rapport à la sécurité (les comptes des utilisateurs qui partent sont automatiquement désactivés) on oublie souvent les conditions suivantes :

Le moment de création
Un compte utilisateur doit être créé et être disponible des le premier jour de travail du collaborateur. C’est souvent le premier jour du mois. Bien que pour un système RH, les nouveaux collaborateurs soient souvent saisis dans le système plus tard, par exemple au 15 du mois, juste avant la production des salaires. Si c’est le cas, il est important que les procédures/façon de travailler du service des Ressources Humaines soient adaptées avant qu’un lien automatique de provisioning soit mis en place.

Il va sans dire que cela peut poser toute sortes de problèmes voir réticences du service DRH…

Exhaustivité
Pour tous les comptes utilisateurs dans le réseau, un contrat doit être présent dans le SIRH. Ceci n’est souvent pas le cas, surtout s’il s’agit de gens de l’extérieur (freelance, agences d’emploi etc. Ce type de collaborateur n’est souvent pas géré dans le SIRH car il n’y a pas d’obligation légale de le faire, et le salaire n’est pas payé et géré de la même manière que pour un collaborateur régulier.

Un détail intéressant est que ce groupe de personnes est souvent la cause de la plus grande parti des mutations/changements dans le réseau.

Il est rare qu’après avoir établi un lien avec le SIRH ce genre de personnes soit saisit dans le SIRH. L’investissement en temps et en effort pour enregistrer ces personnes comme des collaborateurs ne vaut souvent pas la peine pour des ‘temporaires’.

Pour des collaborateurs temporaires il faut alors une alternative. On conseille souvent de créer un formulaire électronique ou portail web qui permet au chef de service ou leurs assistants de gérer eux-mêmes les comptes de ces collaborateurs.

Hors du problème des collaborateurs temporaires l’exhaustivité au niveau du SIRH se joue aussi par rapport à :

1) champ numéro de sécurité sociale. Ce champ est le plus pratique pour l’identification unique entre le collaborateur dans le SIRH et le système de gestion de comptes utilisateurs dans le réseau (par exemple Active Directory, E Directory, LDAP etc.). Si le numéro de sécurité social n’est pas disponible pour tous les collaborateurs dans le système RH, l’identification devient plus difficile…

2) la relation collaborateur :: service :: chef de service, est importante aussi. Souvent la relation entre collaborateur et service est présente mais la relation entre ‘service’ et le chef de ce service n’est pas toujours gérée dans le SIRH.

Avec la relation collaborateur :: service :: chef de service il est possible d’automatiser beaucoup de tâches/activités par rapport à la gestion de comptes utilisateurs, par exemple :

Notification d’un nouveau collaborateur à son chef, notification et traitement du départ d’un collaborateur (désactivation de compte en plusieurs étapes dans le temps…) informer le manager sur les droits/applications des gens qui travaillent dans son service, etc.

Pertinence
En général les collaborateurs se font moins de soucis pour une erreur sur leur nom sur leur fiche de paie, que sur un nom incorrect dans le nom affiché dans un email. Un nom incorrect (par exemple nom de jeune fille au lieu de nom de partenaire) dans la liste des emails provoque immédiatement une demande de changement par l’employée. La pertinence des données dans la base RH devient donc primordial…
Volonté
Mettre en œuvre un lien avec le SIRH demande plus de la saissi des collaborateurs dans le système. Souvent le service RH ne se rend pas toute de suite compte de ce changement, mais une (petite) partie des appels au helpdesk se transfère maintenant au service RH. La raison d’un adresse email avec une faute d’orthographe n’est plus le résultat d’une mauvaise saisie de la part du service informatique mais d’une erreur de frappe du service RH. Grace au lien automatique le collaborateur doit alors contacter le Service RH au lieu du service informatique s’il veut que le changement soit fait. Puisque le système RH est maintenant ‘la source’ des informations correctes ou incorrectes…

Peut être ces différents points doivent être considérés dans le processus de mise en œuvre d’un tel lien. Faites attention, il s’agit juste d’une liste non exhaustive et il peut y avoir beaucoup de situations spécifiques pour l’organisation en question, pouvant être résolu de manières différentes.

N’hésitez pas à revenir vers moi si vous désirez en savoir plus sur ce sujet. Je suis joignable par téléphone chez Tools4ever au 01 53 43 29 55 ou par email à p.baas@tools4ever.com

L’Evolution d’une Suite d’Identity Management – Enterprise SSO Manager

Depuis 10 ans, Tools4ever est présent sur le marché de la gestion des identités. Le premier développement fût un outil de auto-provisioning d’utilisateurs. Cette solution était ciblée sur les réseaux Windows et était surtout utilisée dans le but d’importer en masse des utilisateurs pour des universités…
Il y a 5 ans, Tools4ever a décidé de se spécialiser encore plus dans l’identity management : Nous avons investit beaucoup de nos ressources pour créer des solutions réussies.

UMRA
Le premier produit de cette lignée était UMRA (User Management Resource Administrator). UMRA était d’abord une solution de provisioning de comptes utilisateurs qui depuis s’est transformée en une solution mature et performante de gestion des comptes utilisateurs avec entre autre : support des réseaux hybrides (Windows, Novell, Unix, AS400, Mainframe etc.) auto-provisioning possible à partir de SIRH connu (SAP HR, Sage, HR Access, Peoplesoft, etc.) : Délégation du helpdesk (support niveau 1) : Self-Service pour les chefs des services ou utilisateurs finaux ; workflow management pour la validation des demandes ; Reporting et auditing.

Avec UMRA, Tools4ever a toujours eu une approche pratique :
Implémentation phases par phases avec des résultats concrets dans chaque étape. TCO (coût total) compétitive et des implémentations avec résultats concrets à partir de quelques jours.

Marché International
Tools4ever est le leader absolu sur le marché de l’Identity management en Hollande (pays fondateur) et a maintenant plus de 3000 clients dans le monde entier avec deux bureaux en France (Lyon et Paris-Montreuil), Allemagne, Etats Unis (Seattle, New-York), Angleterre, et la siège mondial à Baarn au Pays-Bas.

Tools4ever est leader sur le marché des outils standard de gestion d’identités ainsi que les Professional Services et Conseil en matière de gestion d’identité. Il est difficile de trouver un fournisseur sur le marché avec autant d’implémentations réussies, ou des connaissances concrètes sur l’application de la gestion des identités et des accès.

Gestion des Mots de Passe
3 ans après le développement d’UMRA, Tools4ever a sorti différentes solutions par rapport à la gestion des mots de passe. Le but principal de ces solutions est de réduire le nombre d’appels vers le helpdesk concernant les mots de passe. De plus l’ergonomie de ces applications permet d’aider les utilisateurs finaux ainsi que le service informatique.

Les solutions de gestion des mots de passe sont : Réinitialisation de Mot de Passe en Self Service (SSRPM-Self Service Reset Password Management), la Synchronisation des mots de passe (PSM-Password Synchronisation Manager) et la gestion de la complexité des mots de passe (PCM-Password Complexity Manager).

SSRPM
En integrant SSRPM (Self Service Reset Password Management), l’utilisateur final a la possibilité de réinitialiser son mot de passe sans qu’il ait besoin d’appeler le helpdesk. Avant de pouvoir réinitialiser son mot de passe, l’utilisateur doit répondre à quelques questions personnelles. Chez la plus part de nos clients, on a constaté une réduction de plus de 90% des appels vers le helpdesk concernant les réinitialisations de mot de passe, ainsi qu’une amelioration de la sécurité (la difficulté pour un Helpdesk de bien identifier la personne qui appelle pour demander un reset de son mot de passe)

Enterprise SSO Manager (E-SSO-M)
Avec la sortie d’E-SSO-M, la stratégie de Tools4ever est de proposer un portfolio de solutions d’Identity Management de plus en plus complet. E-SSO-M est une solution SSO performante qui réduit le nombre de mots de passe que l’utilisateur final doit retenir et ressaisir. L’utilisateur n’a pas besoin de ressaisir ses mots de passe ou ses noms d’utilisateurs dans les applications une fois qu’il s’est identifié dans le système. E-SSO-M gère ensuite automatiquement les procédures de logon dans les autres applications. Hormis le fait que cela augmente la convivialité et la productivité des utilisateurs, E-SSO-M offre aussi beaucoup d’avantages pour le service Informatique.

Les Sept raisons expliquant l’importance d’un lien AD-SIRH

Bien que pour certains les avantages d’un lien direct entre le système RH et le Active Directory est évident, il m’arrive toujours presque chaque jour – de parler avec des responsables informatique qui n’osent pas ou ne veulent pas mettre en place un lien automatique de provisioning entre le SIRH (tel que SAP HR, Peoplesoft, Sage, HR Access, Sigma-RH, Cegid etc.) et Active Directory :

Pourquoi alors est-il si important de réaliser ce lien? Quels en sont les avantages? Et quels sont les risques s’il n’est pas implémenté ?

1. Risques de sécurité

Exemples : pour chaque personne quittant l’organisation, le service informatique doit pouvoir garantir que ses comptes utilisateurs soient désactivés et le respect de procédure (désactivation de comte, out office, informer le manager par email quant à la désactivation de compte et la possibilités d’accéder pendant une certain temps au données, rappeler le manager par email avant d’archiver ou supprimer les données).

2. Réduction considérable de travail

La gestion des utilisateurs et des droits dans l’Active directory, Exchange, le système fichier ainsi que d’autres systèmes prend beaucoup de temps, et si ce travail est fait manuellement, il y’a toujours des erreurs, ce qui veut dire encore plus de travail et mécontentement au niveau des utilisateurs et chefs de services.

Un autre aspect est que ce travail de gestion des comptes utilisateurs est en général quelque chose qui est fait au dernier instant, dans la précipitation, mettant une pression inutile sur les administrateurs systèmes.

Et que se passe t-il si l’administrateur système n’est pas là, indisponible, ou remplacé ?

3. Elimination d’erreurs

Grâce au lien entre Active Directory et le système RH on a finalement un Active Directory étant à jour et basé sur les règles de standardisation de l’organisation…

4. Importance de l’Active Directory

Puisque l’Active directory devient de plus en plus important et que de plus en plus de systèmes s’auto provisionnent ou sont liés à ce dernier, il est impératif que ces données soient à jours, ne contenant pas erreurs demandant ainsi le moins de travail possible.

5. Meilleur service aux utilisateurs

Si aujourd’hui il n’est pas exceptionnel de voire qu’il faille d’une à deux journées avant qu’un nouveau collaborateur puisse travailler réellement, une connexion entre l’AD et le système RH permet d’augmenter considérablement le service fourni à l’organisation et aux utilisateurs finaux. La gestion (création, changement, désactivation) des comptes utilisateurs se fait maintenant en ‘temps réel’.

6. Responsabilité là ou il faut…

Dès qu’il y a une erreur ou un retard au niveau de la gestion des accès ou la gestion des comptes utilisateurs, la faute est souvent rejetée vers le service informatique. Alors qu’en fait beaucoup d’erreurs proviennent du fait que les bonnes informations ne remontent pas ou n’arrivent pas au bon moment, au service informatique. Un lien avec le système RH permet de mettre la responsabilité là ou il faut : Vers les personnes qui ont les informations nécessaires (le service RH dans ce cas la)

7. Vous gardez le contrôle !

Parfois les informaticiens n’aiment pas perdre le contrôle sur ce qui se passe dans l’Active Directory. Ils ont raison en partie. Mais un lien avec le système RH n’est pas forcement synonyme de cela. Il est très facile de créer des reportings automatiques pour les administrateurs systèmes qui rendent compte exactement de tous changements dans l’AD, ou bien de mettre en place un système de validation où l’administrateur système ou le Helpdesk valide chaque changement avec un simple clique, sans avoir à faire tous ce travail manuellement.

Bien sur le lien entre l’Active Directory et le système RH n’est parfois pas la solution ultime ou complète. Par exemple s’il s’agit de gérer en détail les droits et les autorisations, le système RH n’est souvent pas assez complet. Mais, il n’empêche que c’est une première étape, essentielle vers une meilleure gestion des identités et accès, qui permet de résoudre quelques problèmes majeurs d’Identity management auxquels sont confrontés aujourd’hui les administrateurs systèmes et les responsables informatiques.

N’hésitez pas de me contacter si vous désirez en savoir plus sur ce sujet. Je suis joignable par téléphone au 01 53 42 29 55 ou par email à p.baas@tools4ever.com p.baas@tools4ever.com

Optimiser la gestion des comptes utilisateurs pour les Ecoles et les Universités

Dans le domaine de la gestion des comptes utilisateurs et des accès (autrement dit : Identity Management), L’ensemble formé par les écoles et les universités est un cas particulier. Ces structures ne doivent pas seulement gérer les identités, les accès ainsi que  les mots de passe pour leurs collaborateurs (professeurs et autres) comme chaque entreprise le ferait en temps normal. Au début de chaque nouvelle année scolaire le service informatique d’une école ou université doit également gérer les identités et les habilitations de tous les étudiants arrivant de même qu’il doivent traiter ceux des nouveaux diplômés.

Le défi

Le nombre de changements
Il s’agit ici d’un vrai défi car le nombre de changements impliqués ne correspond en aucun cas au turnover moyen  d’une entreprise traditionnelle. Une école peut facilement avoir des centaines ou même des milliers des nouveaux élèves/étudiants sur une année. De plus tous les comptes des diplômés doivent être gérés. Si l’on multiplie cela avec le nombre d’accès ou autorisations que chaque élève doit avoir on se rend très vite compte de l’immense travail en decoulant pour les services informatique de ce type de structure.

Urgence
En général les services informatique, responsable de la gestion des identités et des accès/autorisations pour les étudiants effectuent ce travail de titan dans les semaines précédent le début de l’année scolaire, les informations nécessaires se rapportant aux étudiants n’étant disponible qu’au dernier moment.
Ce phénomène est donc vecteur de stress et synonyme d’augmentation de la charge de travail pour les équipes informatiques pendant la période des vacances scolaires. Et, la situation n’évolue pas favorablement au cours de l’année car on s’aperçoit vite que certains comptes utilisateurs comporte des erreurs (non respect de la convention de nommage, mauvais mot de passe, mauvaise autorisation…)

De plus en plus d’autorisations à gérer :
Il y a dix ans, peu d’élèves ou étudiants avaient un compte utilisateur nominatif, l’usage courant était l’utilisation de comptes machines. Aujourd’hui dans la plupart des écoles, chaque élèves/étudiants possèdent un compte utilisateurs nominatif sur le réseau (annuaires tel que Active Directory eDirectory Open LDAP etc.). Mais aussi et de plus en plus d’autres autorisations liées aux applications :

-Email (Lotus Notes, Exchange, G mail)
-Electronic learning environment
-D’autres applications comme Google apps

Ces comptes ont parfois des habilitations différentes en fonction du niveau, département ou statut de l’élève/étudiant, ainsi que des mots de passe à gérer et à communiquer (combien d’écoles ou universités ont aujourd’hui mis en place un système de Single Sign-on ?)

Solution
Si on considère les enjeux et les risques liés à la non-conformité ou à la non existence de comptes utilisateurs, il n’est pas étonnant que de plus en plus d’écoles et universités emploient des outils performants (tel que UMRA (User Management Resource Administrator) de Tools4ever) pour gérer automatiquement les comptes utilisateurs, les accès et les mots de passe des étudiants.
Dans la plupart des cas, ce type de solution peut être mis en place en quelques jours et gère non seulement les changements en début d’année scolaire et en fin d’année scolaire, mais aussi tout au long de l’année (départs ou éventuels changements).
Si avant les importations en masse se faisaient souvent à partir de fichiers (Excel, csv, etc…), aujourd’hui de plus en plus d’écoles optent pour un système plus sur et plus adapté à la situation de établissement concerné. Un lien entre le système de gestion des étudiants tel que « OpenPortal » et le système de gestion des accès est alors préconisé. Pour les administrateurs c’est n’est plus un luxe !

L’Etude de Rentabilité (Business Case) pour L’Identity Management : Calculer le Retour sur Investissement

Fort de mon expérience grâce à la réalisation de plusieurs projets d’Identity Management, je me suis rendu compte que les principaux objectifs souhaitant être atteint par mes clients quant à la réalisation d’un tel projet sont :

  • L’augmentation de la sécurité
  • L’augmentation de  la productivité au sein du service informatique
  • L’amélioration du service proposé aux utilisateurs finaux et clients internes (chefs de service)

Sauf dans le cas où certains audits peuvent risquer de pénaliser financièrement l’organisation, le retour sur investissement de l’Identity management se trouve surtout au niveau du service informatique (ces derniers qui en implémentant un système d’Identity management vont pouvoir travailler plus efficacement, voir automatiser certaines tâches).

En même temps, les utilisateurs finaux vont perdre moins de temps car l’attente relative à la création de comptes utilisateurs ou à l’attribution d’habilitations sera réduite au minimum, toujours dans le but que le collaborateur soit plus rapidement productif.
Voyons alors en quoi consiste ce fameux retour sur investissement pour des projets d’Identity management. Où sont les bénéfices et quels sont-ils ?

Calculatrices de ROI (Retour sur Investissement) pour la gestion des identités – en ligne
Il est parfois possible de trouver sur internet des outils de calcul de ROI pour la gestion des identités mais, dans mon expérience personnelle, ces outils sont dans la plupart des cas : pas réalistes, énormément exagérés, ou même faussés. Un exemple est par exemple celle que j’ai pu trouver où un éditeur des logiciel dans le secteur de la gestion des identités proposait de calculer en partie le retour sur investissement en multipliant le nombre de reset de mot passe par utilisateur par an par le nombre de comptes utilisateurs (nombre d’utilisateur x nombre de comptes) en moyenne. Il n’est pas nécessaire d’avoir beaucoup de connaissances mathématiques pour se rendre compte que le résultat sera faux, orienté à l’avantage de cet éditeur bien évidemment…)

Quels sont les points à considérer pour monter un « business case » ? Les couts principaux pour les activités liées à la gestion des identités :

1)  la création, le changement et la désactivation des comptes utilisateurs et de leurs accès
Quel est aujourd’hui le cout moyen pour faire ces changements en manuel ?
– ‘Couts d’un employé informatique’ x ‘temps nécessaire’
– Prenez en considération tous les systèmes où aujourd’hui les utilisateurs et leurs accès sont gérés manuellement :
– Active directory
– Applications métiers
– Autres applications, bases de données ou annuaires
– Etc.
– Tenez compte du fait qu’un travail fait manuellement est souvent la cause de plusieurs actions : création, erreur, correction, appel au helpdesk, clarifier la demande, vérifications etc.

2)  la perte de productivité coté utilisateur
Combien de temps attend un utilisateur La création de son compte ou ses habilitations avant d’être productif ?
– Multipliez par le cout moyen d’un collaborateur
– Tenez compte de la création mais aussi des eventuels changements (combien de temps pour obtenir un droit supplémentaire ?)

3)  la gestion des comptes externes (fournisseurs, clients, partenaires etc.)
Existe t-il des comptes utilisateurs pour ce type d’utilisateurs ou existe-t-il des accès externes à gérer ?
– Tenez compte de l’effort et du temps que prennent la gestion des comptes des externes (fournisseurs, clients, partenaires etc.)

4)  la gestion des mots de passe, en incluant les réinitialisations de mot de passe
a)  Le temps passé pour gérer les mots de passe ou l’attente d’un reset de mot de passe coté utilisateurs
b)  Le temps passé  pour gérer les mots de passe coté support informatique /helpdesk, ou le cout total d’un appel au helpdesk (si connu)

Bien que ce soient les points les plus importants à tenir en compte lorsque l’on fait un calcul de retour sur investissement d’Identity Management, cette liste est non exhaustive et ces critères peuvent varier d’un cas à l’autre. Cependant, ils donnent une bonne indication. J’aimerais terminer avec quelques exemples de retours sur investissement tirés directement de mes propres expériences :

Quelques exemples réels de retour sur investissement :

Structure : hôpitaux/santé
Nombre d’utilisateurs : 7000
Fonctionnalités du système d’Identity management: Gestion automatiques des comptes utilisateurs et accès dans Windows (active directory) et application métier principale :
Couts : 40K €
Retour direct : 60K € euros par an

Structure : Telecom
Nombre d’utilisateurs  40.000 utilisateurs
Fonctionnalités du système d’Identity management: gestion automatique de demandes (comptes utilisateurs, accès, poste de travail, reset de mot de passe  etc.)
Couts : 250K €
Retour direct (sur diminution des attentes utilisateurs finaux) : 750K € + par an

Pour plus d’information à ce sujet ou d’autres exemples concrets, n’hésitez pas à me contacter directement par e-mail ou par téléphone.

Eléments à prendre en considération pour la réussite d’un projet RBAC

On trouve de plus en plus d’articles sur Internet montrant comme quoi la gestion des accès basée sur des Rôles (Role Based Access Control ou RBAC en anglais) est un concept qui ne tient plus la route.

Avec 10 années d’expérience dans l’Identity Management, Tools4ever – il est vrai – a souvent, même très souvent, été témoin d’initiatives de gestion des accès basée sur des rôles qui …ne tenaient pas la route.

Quelles sont les raisons d’un tel échec? Et quelles sont les bonnes pratiques pour réussir son projet?

Voici quelques éléments :

1/ N’essayez surtout pas de créer une matrice des accès et des rôles complète
Lors de l’implémentation de projet de RBAC, on rencontre souvent des sociétés de conseil qui consacrent beaucoup de temps – parfois des années – a faire des interviews et autres actions nécessitant pas mal d’efforts dans le but de construire la matrice parfaite contenant tous les rôles et accès qui existent dans l’organisation. C’est une approche très couteuse qui amène rarement au résultat voulu. Puisque l’organisation elle-même ne peut pas être considéré comme statique, viser la matrice des rôles ‘complète’ risque de devenir une histoire sans fin.

2/ Essayez de travailler selon un modèle pyramidale
– Si l’on veut vraiment obtenir de bons résultats sans démarrer un projet couteux, la méthode pyramidale est à conseiller. L’idée principale est que l’ensemble des accès peut être vu comme une pyramide, avec des accès fondamentaux et d’autres moins essentiels. Exemple des différents niveaux
– Niveau organisation (OS, login + e-mail)
– Niveau département/service (dossier(s) de partage , applications métier)
– Niveau fonction intitulé de poste (plus détaillées)
– Niveaux des autorisations / rôles les plus détaillés (exemple rôles dans SAP)

Les avantages principaux de cette méthode sont : des résultats immédiats et l’application de la règle des 80/20 (80% du résultat avec 20% des efforts)

3/  Faites la différence entre les autorisations et accès structurées et ad-hoc :
Un des risques des projets relatifs à la gestion des accès basée sur des rôles est de se perdre dans la jungle des autorisations. En effet, il n’est pas concevable d’extraire un modèle type de rôles à partir des autorisations et accès de bas niveau dans la pyramide car bien souvent ils ont été attribués arbitrairement ou exceptionnellement et, de ce fait, ne sont pas structurées. En revanche, certains accès et autorisations sont structurées et peuvent très bien représenter un rôle précis s’inscrivant donc complètement dans la définition du modèle. Il faut impérativement différentier ces deux types dès le début du projet car le processus de gestion et la collecte des informations se rapportant à ces deux types d’autorisations sont différents.

Au départ les accès et autorisations non-structurées peuvent très bien être gérés par un système de demande par workflow, avec traçabilité pour alimenter par la suite la matrice avec plus de détails.

Autres éléments
D’autres éléments importants sont :
– Les pré-requis de conformité (exemple ‘segregation of duty’ dans SOX)
– Gestion de l’existant par rapport au future (as is – to be)
– Les descriptions des rôles /accès fonctionnels et techniques (demande fonctionnelle vs. réalité technique)

Pour en savoir plus sur la gestion des rôles, et la gestion des accès n’hésitez pas à prendre contact avec nous.