Archives du mot-clef gestion des identités et des accès

Un Portail libre service pour toutes les demandes informatiques

Le challenge est évident :
L’organisation veut avoir accès, facilement et rapidement, aux services et ressources que proposent le Service Informatique, et…le service informatique a la responsabilité de garantir la sécurité et la stabilité. Dans la pratique ces intérêts paraissent souvent contradictoires, mais cependant, il est toujours possible de proposer des solutions offrant plus de services à l’ensemble de l’organisation sans pour autant que cela soit source de problèmes pour les informaticiens. Il est même possible de faire profiter le service informatique de cette même solution.

Le scénario :
L’organisation voudrait être capable de faire une demande de compte utilisateur pour des collaborateurs externes, et voudrait que ces comptes soient actifs immédiatement.

De plus les collaborateurs voudraient plus rapidement avoir accès à leurs applications, sans se perdre dans des discours interminables entre leur manager ou le service informatique (va et vient entre les différents services).

Comment cela marche aujourd’hui ?
Pour les collaborateurs temporaires il y a en général une procédure ou un formulaire (papier) devant être rempli, et qui en passant en premier lieu par le service RH arrive finalement au service informatique. Là, on constate souvent qu’il y a des données qui manquent, ce qui provoque des appels pour clarifier de quoi le nouveau collaborateur a besoin « exactement ».
Ensuite la demande risque de trainer parce que l’administrateur d’une des applications doit encore valider les autorisations pour le système financier (par exemple) pour lequel il a besoin de l’autorisation d’un autre service.

Ceci est juste un exemple, qui montre que souvent les demandes venant de l’organisation requièrent l’intervention de plusieurs personnes, avec à chaque étapes une validation et exécution par le service informatique. Parce qu’il s’agit d’une procédure manuelle, l’informatique peut aussi jouer le rôle de process-manager, et doit contrôler la continuité, la qualité et la communication.

Comment optimiser ?
Il est possible de créer un portail self service (web-shop) sécurisé et personnalisé où les collaborateurs de l’organisation eux-mêmes peuvent faire des demandes électroniques (e-forms). Une demande peut passer par une ou plusieurs validations avant d’arriver au service informatique. Logique n’est-ce pas ? Et comme ca on traduit techniquement le scénario/procédure.
Mais on peut facilement aller plus loin. Toutes les personnes qui ont accès au portail self-service peuvent à chaque moment suivre le statut de la demande, qui doit faire la prochaine action et aussi qui a validé quoi.

Le portail self service s’adaptera automatiquement à la structure de l’organisation, si ce dernier est connecté au système RH. Le portail self service pourrait y trouver automatiquement la relation entre un collaborateur et son manager. Mais aussi d’autres informations pertinentes aux services (intitulé de poste, centre de coûts…) et les montrer sur le formulaire électronique.
Ainsi on respecte la hiérarchie de l’organisation et en même temps cela permet de personnaliser les formulaires de telle manière que toutes les bonnes informations arrivent au bon moment au service informatique.

Le service informatique qui reçoit la « commande » peut ainsi s’assurer qu’elle est correcte, qu’elle est validée par le responsable et que les informations arrivent au bon moment, car les demandes arrivent automatiquement et nominativement.
Ces trois points : « correct/complet », « validé » et « à temps » rendent la réalisation beaucoup plus facile pour les administrateurs. Les communications et confirmations sont gérées automatiquement par le portail libre service (web shop).

Cliquez ici pour voir les possibilités du portail self service ou pour voir une démo du « web-shop ».

Evitez les accidents sur la route de l’Identity Management

Ne pas commencez un projet de Gestion des Identités et des Accès en étant pressé.

Gérer les identités ou les comptes utilisateurs dans le réseau devient un challenge de plus en plus grand pour les entreprises.
Les administrateurs système ne doivent plus seulement gérer des infrastructures de plus en plus complexe avec un grand nombre de changements dans les comptes utilisateurs (collaborateurs qui quittent l’entreprise, changent d’état civil, ou changent de service). Ils sont aussi les garants du respect de règles de conformité en matière de sécurité IT qui sont de plus en plus stricts, et qui nécessitent que toutes les actions liées à la gestion des comptes utilisateurs soient loggés, tracées.

En automatisant certaines tâches de gestion telles que « Créer utilisateur »,  « Supprimer utilisateur » ou « Réinitialiser Mot de Passe », une traçabilité peut être garantie. C’est l’un des avantages le plus pertinent des solutions de gestion des identités et des accès. Mais le gain de temps et la réduction des coûts jouent également un rôle. Les services responsables de l’administration du parc informatique se rendent compte de plus en plus de l’avantage d’automatiser les changements au niveau des comptes utilisateurs, mais bien souvent ils se lancent trop rapidement dans l’implémentation d’une (sorte de) solution de gestion des identités et des accès. Et quand cette décision est prise avec trop de précipitation, il y a un certain nombre de pièges classiques dans lesquels ils risquent de tomber.

Vider le bassin sans fermer le robinet…

Un des pièges est de choisir une solution d’ exporting/reporting pure pour satisfaire des besoins d’audit. L’auditeur demande une « vue centrale » des autorisations et des accès qui doivent être attribués selon des règles puis une autre correspondant aux privilèges qui sont réellement donnés aux utilisateurs finaux dans le réseau. Pour satisfaire cette demande le plus facilement, il est possible de faire un export périodique de toutes les autorisations par collaborateurs dans le réseau et de le comparer avec la configuration comme elle devrait être.

La liste avec des différences non acceptables (collaborateur ayant trop d’habilitations, collaborateur ayant quitté l’entreprise, collaborateur ayant une combinaison d’habilitations non cohérente) doit être ensuite corrigée manuellement dans le réseau. Le grand désavantage de cette méthode « rapide » est qu’à chaque fois la pollution réapparait et doit être de nouveau corrigée. Ainsi cette solution reviendrait à vider un bassin sans avoir prit soin de fermer avant le robinet. Une solution structurelle serait de faire en sorte que par des processus d’autoprovisioning, de gestion des accès par les rôles et de système de gestion de workflow, les différences non acceptables n’aient plus lieu.

Gestion des Accès basée sur les rôles (RBAC)

L’implémentation de la RBAC (Role Based Acces Control) amène rapidement vers ce piège classique : Beaucoup d’organisation ont pour but de réaliser un autoprovisioning qui supporte à 100% les rôles. C’est-à-dire que les comptes utilisateurs sont créés sur la base de rôles et poste qu’occupe un collaborateur dans l’organisation.

Ce ne pas pour rien que la RBAC est souvent appelé la PBAC (Person Based Acces Control)! Car dans la pratique, l’autoprovisioning basé sur des rôles ne peut pas couvrir toutes les instances.

Souvent, il y a autant de rôles et des postes dans l’organisation qu’il y a de collaborateurs ; ce qui entraine donc un nombre presque infini de rôles vis-à-vis des ressources informatiques. Créer et remplir la matrice des rôles et habilitations devient alors souvent un processus fastidieux, long et inefficace. Par la suite, si l’organisation change, fusionne ou se réorganise, le travail doit être recommencé à partir de zéro.

Le Collaborateur en place centrale

Un des autres pièges classiques est de ne pas donner une place centrale aux collaborateurs eux-mêmes ainsi qu’aux managers dans le processus d’IDM. Le manager sait exactement de quoi ses utilisateurs/collaborateurs ont besoin pour faire leur travail. Et le collaborateur lui-même est capable de dire de quoi il a besoin pour faire son travail. Pourquoi alors ne pas leur permettre de faire eux même des demandes via un système de self service avec un système de workflow ?

En conclusion : beaucoup d’organisations souhaitent implémenter d’une traite un environnement d’Identity Management complet. Bien que dans la pratique cela soit possible, un projet d’une telle envergure dure assez longtemps et les premiers vrais résultats sont visibles qu’après des mois et des mois de travail.
Souvent il est plus convenable d’attaquer le sujet par phases. Ceci donne la flexibilité et l’espace d’implémenter sa solutions d’Identity management pas à pas. Les investissements nécessaires sont proportionnels avec le type d’implémentation dans l’organisation et en quelques semaines, des résultats visibles peuvent déjà être réalisé à moindre coût. De tels résultats garantissent souvent une bonne acceptation de l’initiative dans l’organisation.

Essayez d’éviter les pièges classiques en n’entrant pas trop précipitamment dans un projet de Gestion des Identités. Etudiez les possibilités et prenez conscience que tout ne devrait pas être fait en une seule fois. Mieux vaut faire des étapes pour éviter l’accident sur la route de l’Identity Management.

Cliquez ici pour obtenir plus d’informations sur les avantages de la gestion des identités et des accès.

Connexion du SIRH avec Lotus Notes

UMRA possède de nombreux connecteurs notamment entre des SIRH et Active Directory dans le but d’automatiser la gestion des comptes utilisateurs. Avec plus de 150 connecteurs, UMRA est capable de collecter des données qui sont pertinentes pour la création, modification et désactivation des comptes utilisateurs. Il est possible, par exemple, de lire à partir du SIRH quels sont les nouveaux utilisateurs ou encore ceux qui changent de fonction ou lieu de travail. En résumé, tous les mouvements relatifs à une personne dans l’entreprise.

En dehors de la gestion des comptes utilisateurs dans Active Directory, UMRA est tout à fait capable de gérer automatiquement l’annuaire Lotus Notes. Nous  rencontrons régulièrement des clients disposant d’un annuaire Lotus Notes avec des données sur les collaborateurs n’étant pas à jour. Des numéros de téléphone incorrects, les champs de département, service ou fonction renseignés à la main, ainsi que des erreurs liées au non respect des règles de nommage.

Avec UMRA, il est tout à fait possible de relier en une à deux journées l’annuaire Lotus Notes avec un SIRH tels que Cegid RH Place, Oracle PeopleSoft ou SAP RH. Ces systèmes d’informations disposent le plus souvent de données à jour sur les collaborateurs, ces dernières pouvant être automatiquement synchronisées par l’intermédiaire d’UMRA dans l’annuaire Lotus Notes. Aucune modification dans la configuration de Lotus Notes n’est nécessaire. UMRA peut détecter les données ayant changées pour ensuite les répercuter dans l’annuaire Lotus. De plus, des outils de reporting détaillés sont inclus pour permettre à la DSI d’avoir un œil sur les modifications effectuées.

Certaines données sont soumises à des contraintes avant de pouvoir être synchronisées. Lotus Notes requière par exemple une action de renommage du « person-document » avant de pouvoir modifier « l’object-name ».  UMRA gère toutes ces facettes de provisioning de Lotus Notes mais aussi d’autres opérations complexes.

Pour plus d’information sur la connexion entre le SIRH et d’autres systèmes, visitez : www.tools4ever.fr

UMRA contrôle les sessions d’examens des étudiants

Traditionnellement, les écoles et collèges utilisent UMRA afin de maintenir Active Directory à jour, soit par la lecture des informations depuis un fichier CSV, ou par un lien dynamique de synchronisation à leur système d’information tel que Moodle, Apogée, etc.

Une partie de le Suite de gestion des identités de Tools4ever est UMRA Forms, une interface sécurisée, rapide et précise permettant de gérer le cycle de vie d’un utilisateur. Quand une école fait le lien entre Active Directory et le système d’information des étudiants, toutes les modifications du compte de l’étudiant sont automatisées, sans intervention manuelle.

Il y a quelques mois nous avons été en contact avec une école qui avait un problème intéressant en matière de supervision de session d’examen.

L’administrateur de l’école crée des comptes d’examen pour les élèves, avec les répertoires partagés normalisés comme pour chaque utilisateur. Dans le répertoire, il crée une série de dossiers « examen », auxquels l’élève doit seulement accéder pendant une session d’évaluation contrôlée. L’élève peut avoir besoin d’utiliser le compte examen à l’extérieur d’une période d’évaluation contrôlée, donc l’activation et la désactivation du compte utilisateur n’est pas une option.

L’administrateur avait vraiment besoin d’un moyen de contrôler les autorisations NTFS sur les dossiers d’examen dans le répertoire pour chaque compte. TOOLS4EVER a donc construit une interface simple, déléguée au personnel enseignant, permettant d’activer et de désactiver l’accès aux dossiers d’examen par un seul clic.

La tâche fastidieuse de gestion des comptes examen est maintenant déléguée au personnel enseignant. Plus important encore, UMRA trace chaque action à des fins d’audit.

Cliquez ici pour en savoir plus sur la gestion des identités et des accès pour les écoles et universités

Les parents d’élèves peuvent désormais accéder aux données scolaires de leur enfants

Dans ce billet, je voudrais présenter des cas uniques où les clients ont des exigences qui sortent du cadre de nos solutions en matière de gestion des identités. L’un des 10 meilleurs établissements scolaires de l’Etat de Floride, et un des 25 meilleurs des Etats Unis, avait un problème de gestion des identités qui ne concernait ni les étudiants, ni les professeurs, ni le personnel, mais plutôt les parents d’élèves…

Une législation avait été adoptée pour que, tout parent désireux d’accéder aux données de leur enfant sur son environnement électronique d’apprentissage, se présente en personne afin de s’identifier et de demander un compte. Avec plus de 125 emplacements physiques et 500 et + utilisateurs pour gérer ce processus, un système papier n’était pas envisageable.

La solution mise en place est  une combinaison de produits proposés par TOOLS4EVER ainsi que la conception de formulaires web personnalisés.

TOOLS4EVER a travaillé en étroite collaboration avec le personnel technique de l’établissement pour s’assurer que les conditions étaient très détaillées afin d’éviter toute « pièce manquante ». Au final, une solution a été livrée en utilisant User Management Resource Administrator (UMRA), accompagnée d’environ 30 heures de prestation, ce package répondant parfaitement à leurs besoins.

Voici un bref aperçu de la solution:

  •     Un parent se présente à l’école et demande un compte pour accéder aux données de son/ses enfant (s).
  •     Un secrétariat où l’administrateur vérifie les identités et entre les informations pertinentes dans une page Web, comprenant :

Nom
Type d’identifiant, numéro et date d’expiration
Numéro(s) de téléphone (s)
Adresse
E-mail

  •     Le secrétariat cherche alors le nom d’utilisateur de l’étudiant ou les critères d’identités de l’étudiant, et vérifie avec le parent que le nom correct est affiché.
  •     L’individu clique ensuite sur le bouton « Enregistrer Parent »   et, si aucun doublon n’est trouvé, le dossier est créé dans l’Active Directory, ainsi que dans le système d’information des étudiants, et un lien entre le parent et l’enfant est créé.
  •     Un mot de passe temporaire est fourni et le secrétariat enregistre les informations, ainsi que le nom d’utilisateur, et le fournit aux parents.

Dans le cadre de ce projet, Self Service Reset Password Manager (SSRPM) a également été déployé pour les parents afin de leur permettre de s’inscrire et de réinitialiser leur mot de passe via des questions d’identification, et d’éviter une charge de travail inutile au  personnel du support technique.

Des formulaires Web supplémentaires ont été livrés pour permettre au personnel administratif de réinitialiser les mots de passe pour les comptes des parents, de vérifier leur statut d’inscription SSRPM, d’exécuter des rapports de dernière connexion, désactiver les comptes, de mettre à jour les comptes et les rapports sur les inscriptions SSRPM.

Depuis le déploiement du système, plus de 100.000 parents ont été admis et peuvent accéder aux dossiers de leur enfant en toute simplicité. La « paperasserie », utilisée par l’ancien processus a été éliminée et, par le biais de SSRPM, la charge supplémentaire de travail  au helpdesk  est inexistante.

Cliquez ici pour en savoir plus sur les solutions TOOLS4EVER

Migration Active Directory: Sept Méthodes pour le Nettoyage de l’Annuaire

Souvent les outils de migration de l’annuaire AD copient les données existantes unes à unes ce qui a pour effet de copier la pollution également. Un nettoyage de l’annuaire s’impose, soit avant la migration ou bien après pour avoir enfin un Active Directory propre et à jour.

Les outils de gestion des identités et des accès peuvent aider. Notamment des outils flexibles comme par exemple UMRA, car même si ils ne réalisent pas la migration à proprement parler, c’est parfait pour faire des opérations pré et post “nettoyage” dans le but de faciliter le processus et s’assurer que vous ne perdez pas de temps.

En quelques jours UMRA aide les administrateurs pour :

  • Nettoyer les comptes inactifs avant la migration pour ne pas avoir à les basculer.
  • Créer des rapports détaillés sur les affiliations aux groupes vers des bases de données ou des fichiers CSV pour pouvoir les recréer dans un nouvel environnement sans avoir à les ressaisir manuellement.
  • Créer des rapports détaillés sur les groupes inutilisés (groupes sans membres) pour ne pas avoir à les migrer.
  • Nettoyer les noms des groupes avant la migration, respecter une convention de nommage pour les groupes en utilisant de nouvelles règles pour tous les groupes. En général 2 domaines ont des conventions de nommage différentes, UMRA peut s’assurer que tous les groupes utilisent la même pour éviter d’éventuels conflits pendant la migration à proprement dit.
  • Nettoyer les noms des utilisateurs après la migration en se connectant à un système RH ou à une extraction du système RH, pour s’assurer que tous les comptes migrés soient tous propres.
  • Remplir les attributs non utilisés au préalable par exemple « titre », « service », « bureau », après que la migration soit terminée.
  • Utiliser les informations contenues dans des rapports disponibles depuis une base de données ou un fichier CSV sur les affiliations aux groupes pour créer en masse une nouvelle structure de permissions dès que la migration est terminée. Si le domaine source utilisait des groupes par département et le domaine cible utilisait des groupes par localité, vous pouvez simplement tous copier et fusionner. UMRA peut être utilisé pour créer les groupes manquants vers les domaines sources/cibles et lier ces groupes à des comptes utilisateurs.

Imaginez un patient existant deux fois dans le SIH en raison d’une faute de frappe ou d’une autre erreur. Cela signifie que ce patient a deux dossiers médicaux contenant des informations différentes. Les médecins peuvent alors manquer des informations importantes s’ils n’ont pas accès au dossier complet du patient. Ainsi, un patient allergique à la pénicilline pourrait recevoir un traitement à base de pénicilline à cause d’une erreur de saisie dans le SIH.

À l’aide des processus et des outils utilisés pour la gestion des identités, comme la solution UMRA de TOOLS4EVER, et en tirant profit de la capacité d’UMRA à détecter des doublons existants ou éventuels dans différents systèmes, on pourrait « sauver des vies ».
À ce titre, les différents processus de rapprochement disponibles dans UMRA facilitent cette tâche et permettent de détecter très tôt un doublon éventuel et d’envoyer une notification à la personne qui gère les données afin de valider s’il s’agit bien du même patient. UMRA peut évidemment aussi gérer toute la partie traçabilité relative aux alertes remontées et la manière dont elles ont été traitées.

Pour en savoir plus, cliquez ici.

Gestion automatique des tickets du service support informatique pour les comptes utilisateurs et droits d’accès

En général, un chef de service utilise ces formulaires Web pour annoncer l’arrivée ou le départ d’un employé. Il peut demander la création d’un compte, d’une boîte aux lettres, ou encore des droits d’accès à des fichiers partagés ou à certaines applications.

À la fin du formulaire ou du workflow, un ticket est envoyé au service support informatique, qui va alors créer le compte et les ressources ou demander que cela soit fait par les administrateurs système.

Ce travail manuel prend du temps et il peut s’avérer source d’erreurs car d’une part, les données sont entrées directement dans Active Directory ou dans d’autres systèmes, et d’autre part, il s’agit d’une double saisie des données car celles-ci l’ont déjà été par le demandeur.

Outre l’existence au sein même de la solution UMRA d’un système de gestion du workflow et d’un outil de création des formulaires Web, cette solution peut aussi être déployée dans un contexte pré-existant afin d’optimiser et d’automatiser au maximum le processus de gestion des comptes utilisateurs.

Ainsi, dans le cas d’une institution financière, UMRA a été configurée pour traiter automatiquement tous les nouveaux tickets liés aux utilisateurs, ainsi que leurs droits et leurs ressources.

Les avantages :

  • un temps de mise en œuvre court de 2 jours pour traiter automatiquement tous les tickets liés à des utilisateurs et à des droits d’accès ;
  • un gain de temps important pour les administrateurs ;
  • la garantie que toutes les normes sont respectées ;
  • l’inutilité de saisir les mêmes données deux fois, avec des erreurs possibles ;
  • la possibilité de traiter des demandes dans différents systèmes (Active Directory, système de messagerie, bases de données et applications).

De cette façon, toutes les informations disponibles à partir de la demande sont utilisées de façon optimale.

Dans ce genre de situation, les formulaires Web gérés par l’Intranet de l’entreprise ne sont souvent pas dynamiques, ce qui peut éventuellement être un inconvénient.
Ainsi, les données de configuration telles que les différents services existant dans l’entreprise, les groupes ou les unités organisationnelles dans Active Directory, ainsi que la relation entre un employé et son supérieur hiérarchique doivent être gérées séparément et souvent manuellement.

Tout à l’inverse des formulaires UMRA qui sont entièrement dynamiques et capables de récupérer des informations dynamiquement à partir d’Active Directory ou le système des RH, afin de créer les listes déroulantes mises à jour automatiquement dans les formulaires utilisés.

Cliquez ici pour en savoir plus sur la solution UMRA

Votre stratégie de gestion des identités : un menu « à la carte »

Les projets de gestion des identités ont la réputation d’être longs, coûteux et techniquement complexes. Et si vous pouviez bénéficier des avantages d’une stratégie de gestion des identités sans les tracas et les frais généraux associés aux projets techniquement complexes ? Et cela dans les limites de votre budget ?

Grâce à des centaines de projets de gestion des identités gérés par leurs consultants techniques, Tools4ever a été en mesure de définir un certain nombre de bonnes pratiques de gestion des identités visant à atteindre le meilleur résultat avec un minimum d’efforts.

Parmi ces bonnes pratiques, on trouve la création d’un véritable modèle de maturité de la gestion des identités et la gestion des identités « à la carte ». Cette dernière démontre la capacité de Tools4ever à fournir des solutions précises ainsi qu’une approche intégrée de la gestion des identités.

Voici quelques exemples de solutions « à la carte » qui ont été mises en place (le temps de mise en œuvre estimé se réfère aux organisations de taille moyenne, soit environ 2 000 utilisateurs) :

  •     délégation et traçabilité de la gestion de tous les comptes utilisateurs et de leurs ressources (2 jours) ;
  •     synchronisation avec le système RH (2 jours) ;
  •     portail de gestion des identités en self-service et gestion du workflow (5 jours) ;
  •     RBAC (contrôle d’accès à base de rôles) de niveau 1 (entre 3 et 5 jours) ;
  •     portail Web pour l’audit et la gestion des droits NTFS ou des groupes AD (2 jours) ;
  •     identification unique pour vos 10 principales applications (3 jours) ;
  •     réinitialisation du mot de passe en mode self-service (1-3 jours);
  •     synchronisation des mots de passe (1 journée).

Un menu intéressant ? Qu’est-ce qui vous tente ?

Rendez-vous sur le site www.tools4ever.fr pour en savoir plus sur nos solutions et comment elles peuvent vous aider à atteindre vos objectifs de gestion des identités.

Nous voulons automatiser toute la gestion des identités et des accès, MAIS…

Nous entendons de plus en plus souvent de la part de nos clients la volonté d’automatiser tous les aspects de leur processus de gestion des identités.

Inévitablement, au cours de nos discussions, nous découvrons des éléments spécifiques qui constituent des exceptions à la règle et qui s’avèrent difficiles, voire parfois impossibles à traiter automatiquement. Il est possible que la grande majorité des nouveaux comptes utilisateurs et des accès puissent être traités de façon automatique et que seules quelques rares exceptions requièrent une intervention humaine.

À cette fin, une solution hybride d’automatisation de la gestion du cycle de vie des comptes utilisateurs peut être envisagée. Voici un exemple d’un tel système hybride basé sur l’outil UMRA (User Management Resource Administrator) de Tools4ever :

Lorsqu’un nouvel utilisateur est entré dans le système de gestion des ressources humaines (RH), un processus automatisé génère le nouveau compte utilisateur sur la base de critères prédéfinis, mais au lieu de créer effectivement le compte dans Active Directory, une « demande » est placée dans la file d’attente en vue d’un examen ultérieur.

Un courrier électronique indiquant que des éléments sont en attente d’être examinés est envoyé à un groupe. Un administrateur système ou un agent du service support informatique se connecte alors à un portail Web pour examiner la demande. Si tout semble correct, il lui suffit de cliquer sur un bouton Soumettre pour exécuter la création du compte dans AD, dans un système de messagerie électronique (Exchange, Google, Lotus) ou dans l’un des nombreux autres systèmes.

Si de plus amples informations sont nécessaires, par exemple :

  • l’appartenance à un groupe spécifique
  • l’augmentation de la capacité de stockage des boîtes aux lettres
  • l’accès à des listes de diffusion
  • etc….

alors l’administrateur système ou l’agent du service support informatique peut rajouter les ressources nécessaires, puis cliquer sur le bouton « Soumettre » pour terminer le traitement.

Ce processus est surtout utile pour les organisations comprenant des populations très différentes dans l’AD, comme par exemple une université avec des comptes étudiants (standard) et des comptes de collaborateurs (profils plus spécifiques et à enrichir).

En utilisant cette méthode hybride, il est extrêmement facile de gérer des scénarios de création de comptes, qu’ils soient simples ou complexes.

SOX et la Gestion des Accès

Quand nous discutons avec des spécialistes de la DSI sur les problèmes de gestion des identités et des accès, nous avons régulièrement affaire à des compagnies qui doivent se conformer à la législation SOX.

Ceci a généralement un impact important sur les processus mis en place par l’organisation en général et le département informatique en particulier, surtout en ce qui concerne la gestion des droits d’accès.

Les trois problèmes les plus fréquemment rencontrés sont :

1. Le workflow et la validation des droits d’accès :

Qu’il s’agisse d’un compte régulier sous Active Directory, de droits NTFS, de groupes au sein d’Active Directory, d’un compte e-mail ou de  toute autre application, toutes les demandes et validations doivent se conformer aux lois SOX, ce qui peut signifier que, de façon à créer un compte utilisateur, le Département informatique aura besoin de signatures en cascade  (la signature du demandeur, du N+1 et du responsable informatique).

Nous avons rencontré des compagnies où ces processus sont sous forme papier et à chaque audit SOX, le département informatique va passer des jours, voire des semaines à rechercher les documents exigés par l’auditeur. Un système de gestion automatisée du workflow tel qu’UMRA (User Management Resource Administrator) peut automatiser toutes les étapes de validation et transformer un audit SOX en une partie de plaisir pour la DSI.

Au lieu d’avoir des demandes écrites qui s’égarent en cours de chemin et des salariés qui attendent leurs droits d’accès, UMRA va automatiquement alerter les personnes habilitées à donner les autorisations  et ces dernières pourront d’une simple action valider une demande avant qu’elle ne soit automatiquement transmise à la personne suivante ou au département informatique pour accord.

2. La traçabilité

Évidemment toute demande d’accès ou d’autorisation d’accès doit pouvoir être « tracée » aisément. C’est une caractéristique de la solution de gestion des identités et des accès de Tools4ever.

3. La séparation des tâches

Un des aspects de la législation SOX est que certaines tâches ne doivent pas pouvoir être effectuées par une seule et même personne. Par exemple une commande peut être passée par X mais ne pourra être validée que par Y. Cela aura des conséquences au niveau de la gestion des accès dans la mesure où cela implique d’avoir accès uniquement à certaines données et donc les droits d’accès à chaque application doivent être fortement sécurisés.

En termes de gestion des accès cela veut dire que le système doit automatiquement se verrouiller  et/ou alerter si deux autorisations sont octroyées à un seul et même utilisateur. Ceci est facile à réaliser avec le système de gestion des identités et des accès de Tools4ever ; il est juste nécessaire de savoir quelles autorisations ne peuvent pas se combiner et le programme gérera automatiquement les droits d’accès.

N’hésitez pas à contacter votre bureau Tools4ever le plus proche si vous avez des questions concernant les exigences imposées par la Loi SOX en matière d’informatique et de gestion des accès et des identités.