Archives du mot-clef ldap

Comment les utilisateurs peuvent-ils se connecter à une application via Active Directory et sans connecteur LDAP ?

Q : Est-il possible d’appliquer une politique de complexité de mot de passe sur des applications qui ne le supportent pas ? Et sans connecteur LDAP pointant vers l’Active Directory pour l’authentification ?

R : Il s’agit d’un des nombreux problèmes rencontrés dans le processus de gestion des mots de passe, les plus vieux systèmes ayant pour la plupart des stratégies de complexité de mots passe obsolètes voire inexistantes. De surcroit, le connecteur LDAP n’est pas forcement disponible et l’application peut se trouver dans l’impossibilité de demander des mots de passe complexes aux utilisateurs.

Notre solution de gestion de mots de passe E-SSOM vous offre trois manières différentes de résoudre cette problématique :
1.Il est possible de laisser l’utilisateur se ré-authentifier à l’Active Directory dès qu’il tente de se connecter à une de ses applications en utilisant E-SSOM. Au lieu de demander les identifiants pour l’application, l’utilisateur s’authentifie simplement sur l’AD et est automatiquement connecté à son application. Un processus simple, augmentant la sécurité sans accroître le nombre de mots de passe complexes que l’utilisateur doit retenir, et ne nécessitant aucun connecteur LDAP.

2.E-SSOM peut aussi forcer l’utilisateur à se créer un mot de passe pour sa prochaine connexion et d’y appliquer des stratégies de complexité même si l’application ne le permet pas. Cette solution peut être implémentée de manière à ce que l’utilisateur soit connecté automatiquement à l’application (plus de mots de passe complexes à retenir), les mots de passe restant complexes et surs au sein de l’application.

3.E-SSOM peut aussi générer des mots de passe complexes et aléatoires, dans la limite des possibilités offerte par l’application. Cette solution est complétement transparente pour l’utilisateur qui n’a qu’à cliquer sur l’application pour qu’E-SSOM complexifie son mot de passe. Il se connecte par la suite de manière automatique tout en gardant la complexité de son mot de passe dans l’application.

Il existe beaucoup d’autres cas dans lesquels la gestion des mots de passe combinée aux solutions de Single Sign On permet d’augmenter significativement le niveau de sécurité, sans surcharger les utilisateurs avec des mots de passe complexes. Les consultants techniques de Tools4ever sont des experts sur la question de la Gestion des Accès et des Identités et peuvent vous aider à trouver la solution adéquate.

Les Mairies Europeennes utilisent UMRA pour la gestion de leur Active Directory

En utilisant un outil de délégation, les services informatiques des Mairies Européennes gagnent beaucoup en temps, efficacité et sécurité…

J’ai travaillé avec des dizaines de mairies Européenne et les Responsables Informatique (DSI) sont en général d’accord sur le fait que la gestion des comptes utilisateurs avec les outils natifs de Microsoft pose des problèmes. Surtout à partir d’un nombre d’utilisateurs au dessus de 300. Les  7 problèmes les plus fréquemment rencontrés chez les Mairies Européennes sont  :

 

  •     La gestion des comptes utilisateurs et la gestion des accès prend beaucoup de temps (création, changements de compte/accès, désactivation, stagiaires, comptes ou accès temporaires etc.)
  •     Tout le monde Administrateur ! par manque d’un système de délégation convenable la gestion d’Active Directory doit être faite avec un compte administrateur, les DSI des Mairies déplorent souvent le fait que trop de personnes aient besoin du mot de passe administrateur.
  •     La gestion manuelle est cause d’erreurs, délais, ou comptes non conformes à la politique de la Mairie (politique de nommage, politique de sécurité)
  •     Beaucoup de collaborateurs ont plus d’accès autorisés qu’ils n’en ont besoin (problèmes de sécurité, coûts de licences), parfois même lorsque la personne a déjà quitté la Mairie
  •     Insatisfaction des clients en interne à cause des délais/erreurs.
  •     Chaque utilisateur doit être créé parfois manuellement sur plusieurs systèmes, bases de données et annuaires…: Active Directory, LDAP, Oracle/SQL, autres systèmes
  •     Il n’est souvent pas possible de faire du reporting pertinent sur les accès. La question ‘qui a droit où?’ se pose fréquemment. Pouvoir y répondre correctement est rare.

La Solution qu’utilisent les Mairies Europeennes
En utilisant un outil comme UMRA (User Management Resource Administrator), de Tools4ever, les Mairies Européennes ont réalisées en quelques jours des grands résultats. En effet, il est possible de déléguer toute tâche au niveau de l’Active Directory (ou autre annuaire /base de données) d’une manière sécurisé sans que la personne ait besoin d’un compte administrateur ou des compétences informatiques particulières. Ainsi la délégation peut se faire aux différents niveaux, selon la stratégie de la DSI de la Mairie et la maturité en matière d’Identity Management.

Où Déléguer ?
– Au niveau informatique vers le support niveau 0 ou 1. Résultats : gestion rapide et standardisée, sans besoin de compte administrateur ou des compétences Active Directory.
– Au niveau du service RH (en général c’est le service RH qui est informé de l’arrivée ou le départ d’un collaborateur avant le service informatique) Il y a également la possibilité de lier UMRA directement au SIRH (système d’informations RH), pour que les comptes utilisateurs et accès soient gérés en temps-réel avec le moins d’effort manuel possible. Ceci évite aussi la saisi en double des données.
– Au niveau des Chefs des Services. Le chef de service sait exactement quand un nouveau collaborateur arrive et de quoi il a besoin (ressources, répertoires, applications) pour faire son travail, et est le premier à savoir quand la personne quitte la Mairie.

Fonctionnement
La solution que beaucoup de Mairies utilisent est basé sur d’une coté des formulaires électroniques (demande de création de compte, changement de compte/droits, désactivation de compte, reset de mot de passe, reporting etc.) et, d’une autre coté, des scénarios UMRA etc tout cela en fonction de la politique et stratégie de la Mairie. Par exemple le scenario de ‘création de compte’ peut consister en la création d’un compte Active Directory avec, adresse email, homedrive, certain droits/groupes Active Directory etc tous selon la politique de nommage (standards) et de sécurité (qui a droit à quoi?) de la Mairie.
Les formulaires UMRA déclenchent des scénarios UMRA qui sont exécutés par le Service UMRA, dans Active Directory, Exchange, NTFS ou d’autres systèmes encore.

Les Mairies rencontrent les problèmes cités au dessus ne doivent pas attendre qu’un miracle se passe, pour gérer leurs comptes utilisateurs d’une manière performante, sécurisée, tout en augmentant le service aux clients interne, selon des procédures modèles. La mise en œuvre d’UMRA pour une Mairie prends quelques jours grâce à l’expérience de Tools4ever avec des implémentations pour des mairies allant de formulaires de délégation simples, jusqu’aux workflows complets avec système de gestion d’identité et d’accès complet.

N’hésitez pas à revenir vers moi si vous désirez en savoir plus sur ce sujet. Je suis joignable par téléphone chez Tools4ever au 01 53 43 29 55 ou par email à p.baas@tools4ever.com .