Archives du mot-clef iam

Utiliser une interface web simple et intuitive afin de gérer les comptes utilisateurs dans Active Directory et d’autres systèmes/applications

Utiliser l’interface administrateur d’Active Directory afin de gérer les comptes utilisateurs et les droits d’accès présente de nombreux désavantages, comme par exemple :

  • Sécurité : les utilisateurs doivent être connectés avec des droits administrateurs et généralement les droits administrateur de domaine.
  • L’interface native d’Active Directory Utilisateurs et Ordinateurs que Microsoft propose n’est pas très intuitive : un grand nombre d’onglet à parcourir, d’attributs à gérer et de clics à effectuer rendent le processus sujet aux erreurs et aux oublis.
  • Le respect des standards comme la nomenclature interne ou les profils de gestion de groupes est très complexe à contrôler dès lors que la création, modification ou désactivation de comptes sont effectuées par plusieurs personnes.
  • Temps : créer, modifier et nettoyer les comptes au sein d’active directory prend un temps considérable du fait que bon nombre d’actions sont réalisées manuellement.
  • Ressources : gérer les comptes utilisateurs Active Directory n’est pas le travail le plus passionnant, les tâches sont répétitives et le plus souvent effectuées par des administrateurs senior à cause des niveaux de droits requis.

Mettre en place une interface web simple et intuitive pour la gestion des utilisateurs Active Directory

Avec un outil comme UMRA, il est possible de mettre en place une interface web pour gérer les comptes utilisateurs et les droits d’accès au sein d’Active Directory et d’autres systèmes/applications comme Lotus Notes, AS400, SAP, Office 365, Google Apps etc…

Une telle interface peut être installée et paramétrée aux besoins du client en 2 à 3 jours.

Les avantages sont les suivants :

Une interface simple qui permet à n’importe qui, et ce sans la moindre connaissance d’Active Directory, de créer, modifier et désactiver des comptes utilisateurs.

Sécurité : Aucun besoin de donner les droits administrateurs pour déléguer des tâches spécifiques

Respect de vos standards : la nomenclature et la gestion des attributs d’Active Directory sont automatiques et garantis. L’interface ne nécessite que le nom et le prénom de l’utilisateur ainsi qu’un ou deux champs à sélectionner. Les standards et les règles sont configurés dans les outils en amont de telle sorte qu’ils sont automatiquement respectés.

Temps : tout cela génère du temps libre pour les administrateurs senior et rend la gestion des utilisateurs dix fois plus rapide et plus efficace.
Possibilité d’ajouter des étapes de validation dans le workflow, et même de déléguer la gestion des utilisateurs aux chefs de services.

L’interface web d’UMRA pour Active Directory permet aussi de gérer les comptes non Active Directory comme par exemple AS400, SAP, Lotus Notes, Google Apps, Office 365, Salesforce etc…

Si vous désirez voir l’efficacité et la simplicité de l’interface web pour Active Directory dans votre organisation, contactez simplement le bureau Tools4ever le plus proche et demandez une démonstration.

Gestion automatique des comptes utilisateurs à partir d’un SIRH

J’ai animé un atelier de travail au Pays-Bas il y a quelques mois par rapport à la gestion des identités et des accès. La première partie de l’atelier était centrée sur une étude de cas d’identity management pour une organisation dans le secteur de la santé, présentée par un de nos clients…

La deuxième partie de l’atelier consistait en une session interactive dans laquelle je répondais à différentes questions par rapport à la gestion d’identités. Dans cet article j’aimerais revenir sur un des sujets traités car, il y’eu un grand intérêt de la part de l’auditorium pour ce thème.

La question redondante était ‘Quels sont les conditions à remplir avant d’implémenter un auto-provisioning à partir d’un SIRH ?’ comme par exemple SAP HR, Peoplesoft, Sage, HR Access, Sigma-RH, Cegid etc.

Qu’est-ce qu’un connecteur d’auto-provisioning avec un SIRH ?
Il s’agit d’un connecteur qui détecte chaque changement dans le système RH, et gère ensuite les impacts de ces modifications dans le réseau informatique. Par exemple : un nouveau collaborateur intègre l’organisation et le service RH le saisit dans le système RH (par exemple Peoplesoft). Le système RH contient les noms et l’adresse de l’employée, mais aussi la date d’embauche, le type de contrat, le service ou il va travailler, le salaire etc. Quand le lien avec le Système RH détecte le changement, le compte utilisateur est créé dans le réseau informatique. Ainsi, le nouveau collaborateur peut dès son premier jour de travail se connecter au réseau, envoyer des emails, et accéder aux répertoires et applications de son service. Le même type de modification peut être effectué par rapport au changement de service, de poste, ou de lieu de travail.

Enfin, un compte utilisateur peut aussi être désactivé (ou démonter) ce qu’on appelle ‘de-provisioning’.

Les exigences du système RH
Quels sont maintenant les exigences pour intégrer avec succès un outil de provisioning avec un système RH? Il est clair que l’auto-provisioning a beaucoup d’avantages pour le service informatique : tout le processus de gestion de compte utilisateur peut quasiment être effectué automatiquement sur la base d’une source de confiance. C’est cette dernière qui contient les informations essentielles comme le salaire et, est gérée avec beaucoup de précision par le service RH, qui doit être bien organisé au niveau administratif.

A cause de ces avantages immédiats pour le service informatique et par rapport à la sécurité (les comptes des utilisateurs qui partent sont automatiquement désactivés) on oublie souvent les conditions suivantes :

Le moment de création
Un compte utilisateur doit être créé et être disponible des le premier jour de travail du collaborateur. C’est souvent le premier jour du mois. Bien que pour un système RH, les nouveaux collaborateurs soient souvent saisis dans le système plus tard, par exemple au 15 du mois, juste avant la production des salaires. Si c’est le cas, il est important que les procédures/façon de travailler du service des Ressources Humaines soient adaptées avant qu’un lien automatique de provisioning soit mis en place.

Il va sans dire que cela peut poser toute sortes de problèmes voir réticences du service DRH…

Exhaustivité
Pour tous les comptes utilisateurs dans le réseau, un contrat doit être présent dans le SIRH. Ceci n’est souvent pas le cas, surtout s’il s’agit de gens de l’extérieur (freelance, agences d’emploi etc. Ce type de collaborateur n’est souvent pas géré dans le SIRH car il n’y a pas d’obligation légale de le faire, et le salaire n’est pas payé et géré de la même manière que pour un collaborateur régulier.

Un détail intéressant est que ce groupe de personnes est souvent la cause de la plus grande parti des mutations/changements dans le réseau.

Il est rare qu’après avoir établi un lien avec le SIRH ce genre de personnes soit saisit dans le SIRH. L’investissement en temps et en effort pour enregistrer ces personnes comme des collaborateurs ne vaut souvent pas la peine pour des ‘temporaires’.

Pour des collaborateurs temporaires il faut alors une alternative. On conseille souvent de créer un formulaire électronique ou portail web qui permet au chef de service ou leurs assistants de gérer eux-mêmes les comptes de ces collaborateurs.

Hors du problème des collaborateurs temporaires l’exhaustivité au niveau du SIRH se joue aussi par rapport à :

1) champ numéro de sécurité sociale. Ce champ est le plus pratique pour l’identification unique entre le collaborateur dans le SIRH et le système de gestion de comptes utilisateurs dans le réseau (par exemple Active Directory, E Directory, LDAP etc.). Si le numéro de sécurité social n’est pas disponible pour tous les collaborateurs dans le système RH, l’identification devient plus difficile…

2) la relation collaborateur :: service :: chef de service, est importante aussi. Souvent la relation entre collaborateur et service est présente mais la relation entre ‘service’ et le chef de ce service n’est pas toujours gérée dans le SIRH.

Avec la relation collaborateur :: service :: chef de service il est possible d’automatiser beaucoup de tâches/activités par rapport à la gestion de comptes utilisateurs, par exemple :

Notification d’un nouveau collaborateur à son chef, notification et traitement du départ d’un collaborateur (désactivation de compte en plusieurs étapes dans le temps…) informer le manager sur les droits/applications des gens qui travaillent dans son service, etc.

Pertinence
En général les collaborateurs se font moins de soucis pour une erreur sur leur nom sur leur fiche de paie, que sur un nom incorrect dans le nom affiché dans un email. Un nom incorrect (par exemple nom de jeune fille au lieu de nom de partenaire) dans la liste des emails provoque immédiatement une demande de changement par l’employée. La pertinence des données dans la base RH devient donc primordial…
Volonté
Mettre en œuvre un lien avec le SIRH demande plus de la saissi des collaborateurs dans le système. Souvent le service RH ne se rend pas toute de suite compte de ce changement, mais une (petite) partie des appels au helpdesk se transfère maintenant au service RH. La raison d’un adresse email avec une faute d’orthographe n’est plus le résultat d’une mauvaise saisie de la part du service informatique mais d’une erreur de frappe du service RH. Grace au lien automatique le collaborateur doit alors contacter le Service RH au lieu du service informatique s’il veut que le changement soit fait. Puisque le système RH est maintenant ‘la source’ des informations correctes ou incorrectes…

Peut être ces différents points doivent être considérés dans le processus de mise en œuvre d’un tel lien. Faites attention, il s’agit juste d’une liste non exhaustive et il peut y avoir beaucoup de situations spécifiques pour l’organisation en question, pouvant être résolu de manières différentes.

N’hésitez pas à revenir vers moi si vous désirez en savoir plus sur ce sujet. Je suis joignable par téléphone chez Tools4ever au 01 53 43 29 55 ou par email à p.baas@tools4ever.com

Optimiser la gestion des comptes utilisateurs pour les Ecoles et les Universités

Dans le domaine de la gestion des comptes utilisateurs et des accès (autrement dit : Identity Management), L’ensemble formé par les écoles et les universités est un cas particulier. Ces structures ne doivent pas seulement gérer les identités, les accès ainsi que  les mots de passe pour leurs collaborateurs (professeurs et autres) comme chaque entreprise le ferait en temps normal. Au début de chaque nouvelle année scolaire le service informatique d’une école ou université doit également gérer les identités et les habilitations de tous les étudiants arrivant de même qu’il doivent traiter ceux des nouveaux diplômés.

Le défi

Le nombre de changements
Il s’agit ici d’un vrai défi car le nombre de changements impliqués ne correspond en aucun cas au turnover moyen  d’une entreprise traditionnelle. Une école peut facilement avoir des centaines ou même des milliers des nouveaux élèves/étudiants sur une année. De plus tous les comptes des diplômés doivent être gérés. Si l’on multiplie cela avec le nombre d’accès ou autorisations que chaque élève doit avoir on se rend très vite compte de l’immense travail en decoulant pour les services informatique de ce type de structure.

Urgence
En général les services informatique, responsable de la gestion des identités et des accès/autorisations pour les étudiants effectuent ce travail de titan dans les semaines précédent le début de l’année scolaire, les informations nécessaires se rapportant aux étudiants n’étant disponible qu’au dernier moment.
Ce phénomène est donc vecteur de stress et synonyme d’augmentation de la charge de travail pour les équipes informatiques pendant la période des vacances scolaires. Et, la situation n’évolue pas favorablement au cours de l’année car on s’aperçoit vite que certains comptes utilisateurs comporte des erreurs (non respect de la convention de nommage, mauvais mot de passe, mauvaise autorisation…)

De plus en plus d’autorisations à gérer :
Il y a dix ans, peu d’élèves ou étudiants avaient un compte utilisateur nominatif, l’usage courant était l’utilisation de comptes machines. Aujourd’hui dans la plupart des écoles, chaque élèves/étudiants possèdent un compte utilisateurs nominatif sur le réseau (annuaires tel que Active Directory eDirectory Open LDAP etc.). Mais aussi et de plus en plus d’autres autorisations liées aux applications :

-Email (Lotus Notes, Exchange, G mail)
-Electronic learning environment
-D’autres applications comme Google apps

Ces comptes ont parfois des habilitations différentes en fonction du niveau, département ou statut de l’élève/étudiant, ainsi que des mots de passe à gérer et à communiquer (combien d’écoles ou universités ont aujourd’hui mis en place un système de Single Sign-on ?)

Solution
Si on considère les enjeux et les risques liés à la non-conformité ou à la non existence de comptes utilisateurs, il n’est pas étonnant que de plus en plus d’écoles et universités emploient des outils performants (tel que UMRA (User Management Resource Administrator) de Tools4ever) pour gérer automatiquement les comptes utilisateurs, les accès et les mots de passe des étudiants.
Dans la plupart des cas, ce type de solution peut être mis en place en quelques jours et gère non seulement les changements en début d’année scolaire et en fin d’année scolaire, mais aussi tout au long de l’année (départs ou éventuels changements).
Si avant les importations en masse se faisaient souvent à partir de fichiers (Excel, csv, etc…), aujourd’hui de plus en plus d’écoles optent pour un système plus sur et plus adapté à la situation de établissement concerné. Un lien entre le système de gestion des étudiants tel que « OpenPortal » et le système de gestion des accès est alors préconisé. Pour les administrateurs c’est n’est plus un luxe !

Gestion automatique des tickets du service support informatique pour les comptes utilisateurs et droits d’accès

En général, un chef de service utilise ces formulaires Web pour annoncer l’arrivée ou le départ d’un employé. Il peut demander la création d’un compte, d’une boîte aux lettres, ou encore des droits d’accès à des fichiers partagés ou à certaines applications.

À la fin du formulaire ou du workflow, un ticket est envoyé au service support informatique, qui va alors créer le compte et les ressources ou demander que cela soit fait par les administrateurs système.

Ce travail manuel prend du temps et il peut s’avérer source d’erreurs car d’une part, les données sont entrées directement dans Active Directory ou dans d’autres systèmes, et d’autre part, il s’agit d’une double saisie des données car celles-ci l’ont déjà été par le demandeur.

Outre l’existence au sein même de la solution UMRA d’un système de gestion du workflow et d’un outil de création des formulaires Web, cette solution peut aussi être déployée dans un contexte pré-existant afin d’optimiser et d’automatiser au maximum le processus de gestion des comptes utilisateurs.

Ainsi, dans le cas d’une institution financière, UMRA a été configurée pour traiter automatiquement tous les nouveaux tickets liés aux utilisateurs, ainsi que leurs droits et leurs ressources.

Les avantages :

  • un temps de mise en œuvre court de 2 jours pour traiter automatiquement tous les tickets liés à des utilisateurs et à des droits d’accès ;
  • un gain de temps important pour les administrateurs ;
  • la garantie que toutes les normes sont respectées ;
  • l’inutilité de saisir les mêmes données deux fois, avec des erreurs possibles ;
  • la possibilité de traiter des demandes dans différents systèmes (Active Directory, système de messagerie, bases de données et applications).

De cette façon, toutes les informations disponibles à partir de la demande sont utilisées de façon optimale.

Dans ce genre de situation, les formulaires Web gérés par l’Intranet de l’entreprise ne sont souvent pas dynamiques, ce qui peut éventuellement être un inconvénient.
Ainsi, les données de configuration telles que les différents services existant dans l’entreprise, les groupes ou les unités organisationnelles dans Active Directory, ainsi que la relation entre un employé et son supérieur hiérarchique doivent être gérées séparément et souvent manuellement.

Tout à l’inverse des formulaires UMRA qui sont entièrement dynamiques et capables de récupérer des informations dynamiquement à partir d’Active Directory ou le système des RH, afin de créer les listes déroulantes mises à jour automatiquement dans les formulaires utilisés.

Cliquez ici pour en savoir plus sur la solution UMRA

Autoprovisionnement des Comptes Utilisateurs

Dans combien de systèmes votre organisation doit-elle gérer manuellement les comptes utilisateurs et combien de temps et de tracas un système d’autoprovisionnement vous épargnerait-il ?

Chaque société de 500 salariés ou plus peut être un jour confrontée à la situation suivante : Les techniciens du service informatique passent un temps considérable  à gérer les  comptes utilisateurs au sein des différents systèmes et vous sentez intuitivement qu’il existe un processus plus simple et plus rapide.

Imaginez une organisation de 5000 utilisateurs et tous les différents systèmes au sein desquels doivent être gérés les comptes utilisateurs. De tels systèmes sont, par exemple :

  • L’annuaire central (souvent Active Directory, parfois Novell ou open LDAP)
  • Le système e-mail (Exchange, Lotus Notes ou d’autres)
  • Le système ERP (SAP, Siebel, Oracle, AS400 etc…)
  • Un système CRM (par exemple Salesforce)
  • Le système téléphonique (Cisco, Avaya, Alcatel, etc…)
  • Un Système Helpdesk (GLPI, HP Openview, BMC Remedy, etc…)
  • Le portail intranet de la Société
  • Le système de gestion des documents (DMS)

Il s’agit d’une liste non exhaustive des applications les plus communément utilisées, mais il y en a beaucoup plus, et en fonction du nombre d’utilisateurs que comporte chacune de ces applications  et de leur niveau d’intégration avec l’Active Directory (authentification LDAP), le nombre réel de comptes utilisateurs gérés au sein de l’organisation peut facilement s’élever à 20 voire 25.000.

Indépendamment de la charge de travail que cela représente, désactiver, supprimer ou modifier ces comptes utilisateurs manuellement est souvent une tâche fastidieuse et génératrice d’erreurs. Si l’on considère de surcroît  la sécurité et la standardisation, les procédures gérées manuellement peuvent être synonymes de mauvaises surprises en cas d’audit.

Voici précisément où le provisionnement automatique des comptes utilisateurs entre en jeu  Le but de ce principe est simple : Avoir un système central à partir duquel les comptes utilisateurs sont gérés automatiquement autant que faire se peut. La solution UMRA (User Management Resource Administrator) de Tools4ever permet de régler le problème selon le schéma suivant :

  • Délégation Helpdesk : Une façon centralisée de gérer les comptes utilisateurs (création, modification, désactivation, suppression) avec des formulaires web simple pour gérer les comptes AD, les droits NTFS et les comptes e-mail).
  • Synchronisation avec le système RH. Création automatique des comptes des salariés entrants et désactivation, suppression  des comptes des salariés sortants.
  • Délégation des formulaires web au sein de l’organisation. Les managers peuvent à présent lancer le processus d’autoprovisionning avec les mêmes formulaires web. Le SI peut agir comme validateur
  • Fonctionnalité de gestion du Workflow : un système évolué de gestion des workflows  de bout en bout.
  • Self-Service : Un mode de fonctionnement en self service permettant aux utilisateurs finaux de gérer eux-mêmes certains de leurs besoins informatiques.

Si votre société galère toujours avec la gestion manuelle des comptes utilisateur, n’hésitez pas à contacter Tools4ever.

Trois idées pour réduire la charge de travail des services de support informatique

A l’heure actuelle les services de support  informatique sont fréquemment débordés par des tâches répétitives qui pourraient facilement être évitées. Ceci est intéressant à bien des égards tels que réduction des coûts et conformité aux normes mais également difficulté pour trouver du personnel informatique compétent en l’état actuel du marché du travail. TOOLS4EVER aide les sociétés à résoudre ces problèmes depuis de nombreuses années. Voici trois solutions que vous pouvez mettre en place et qui résoudront  les problèmes de surcharge de travail de vos équipes du support informatique :

  • Réduire le nombre d’appels téléphoniques pour réinitialisation de mot de passe : Ce type d’appel semble être en augmentation constante en raison de l’exigence actuelle d’une complexité accrue des mots de passe ainsi que du fait que de plus en plus d’application s nécessitent un mot de passe. SSRPM (« Self Service Password Manager » ou réinitialisation des mots de passe en self-service) est un outil qui permet de réduire de 70 à 90% le nombre d’appels pour réinitialisation. En effet il offre à l’utilisateur final la possibilité de réinitialiser lui-même son mot de passe de façon simple et sécurisée.
  • Réduire le nombre d’appels liés aux mots de passe grâce à la mise d’un système d’authentification unique (ou Single Sign On). Mettre en place un tel système permet là encore de réduire les appels aux services de support informatique. « Enterprise SSO Manager” (E-SSOM) de Tools4ever est un autre exemple d’un outil grandement apprécié à la fois par les utilisateurs finaux mais également par les salariés des helpdesks, puisqu’il permet à l’utilisateur de se connecter une fois pour toute avec une  seule combinaison identifiant/mot de passe.
  • Réduire la gestion manuelle des accès et des autorisations grâce à la mise en place d’une solution de gestion des  Identités et des Accès. Facile à mettre en place une solution telle qu’UMRA (User Management Resource Administrator)  permet aux services informatiques de simplifier la gestion des identités et des accès et  leur offre même la possibilité de déléguer une partie de leurs tâches aux responsables d’autres services grâce à un portail dédié de gestion du workflow en self service.

Si votre société souhaite réduire la charge de travail de son service  helpdesk, n’hésitez pas à contacter  Tools4ever.