Archives du mot-clef ressources humaines

Les Sept raisons expliquant l’importance d’un lien AD-SIRH

Bien que pour certains les avantages d’un lien direct entre le système RH et le Active Directory est évident, il m’arrive toujours presque chaque jour – de parler avec des responsables informatique qui n’osent pas ou ne veulent pas mettre en place un lien automatique de provisioning entre le SIRH (tel que SAP HR, Peoplesoft, Sage, HR Access, Sigma-RH, Cegid etc.) et Active Directory :

Pourquoi alors est-il si important de réaliser ce lien? Quels en sont les avantages? Et quels sont les risques s’il n’est pas implémenté ?

1. Risques de sécurité

Exemples : pour chaque personne quittant l’organisation, le service informatique doit pouvoir garantir que ses comptes utilisateurs soient désactivés et le respect de procédure (désactivation de comte, out office, informer le manager par email quant à la désactivation de compte et la possibilités d’accéder pendant une certain temps au données, rappeler le manager par email avant d’archiver ou supprimer les données).

2. Réduction considérable de travail

La gestion des utilisateurs et des droits dans l’Active directory, Exchange, le système fichier ainsi que d’autres systèmes prend beaucoup de temps, et si ce travail est fait manuellement, il y’a toujours des erreurs, ce qui veut dire encore plus de travail et mécontentement au niveau des utilisateurs et chefs de services.

Un autre aspect est que ce travail de gestion des comptes utilisateurs est en général quelque chose qui est fait au dernier instant, dans la précipitation, mettant une pression inutile sur les administrateurs systèmes.

Et que se passe t-il si l’administrateur système n’est pas là, indisponible, ou remplacé ?

3. Elimination d’erreurs

Grâce au lien entre Active Directory et le système RH on a finalement un Active Directory étant à jour et basé sur les règles de standardisation de l’organisation…

4. Importance de l’Active Directory

Puisque l’Active directory devient de plus en plus important et que de plus en plus de systèmes s’auto provisionnent ou sont liés à ce dernier, il est impératif que ces données soient à jours, ne contenant pas erreurs demandant ainsi le moins de travail possible.

5. Meilleur service aux utilisateurs

Si aujourd’hui il n’est pas exceptionnel de voire qu’il faille d’une à deux journées avant qu’un nouveau collaborateur puisse travailler réellement, une connexion entre l’AD et le système RH permet d’augmenter considérablement le service fourni à l’organisation et aux utilisateurs finaux. La gestion (création, changement, désactivation) des comptes utilisateurs se fait maintenant en ‘temps réel’.

6. Responsabilité là ou il faut…

Dès qu’il y a une erreur ou un retard au niveau de la gestion des accès ou la gestion des comptes utilisateurs, la faute est souvent rejetée vers le service informatique. Alors qu’en fait beaucoup d’erreurs proviennent du fait que les bonnes informations ne remontent pas ou n’arrivent pas au bon moment, au service informatique. Un lien avec le système RH permet de mettre la responsabilité là ou il faut : Vers les personnes qui ont les informations nécessaires (le service RH dans ce cas la)

7. Vous gardez le contrôle !

Parfois les informaticiens n’aiment pas perdre le contrôle sur ce qui se passe dans l’Active Directory. Ils ont raison en partie. Mais un lien avec le système RH n’est pas forcement synonyme de cela. Il est très facile de créer des reportings automatiques pour les administrateurs systèmes qui rendent compte exactement de tous changements dans l’AD, ou bien de mettre en place un système de validation où l’administrateur système ou le Helpdesk valide chaque changement avec un simple clique, sans avoir à faire tous ce travail manuellement.

Bien sur le lien entre l’Active Directory et le système RH n’est parfois pas la solution ultime ou complète. Par exemple s’il s’agit de gérer en détail les droits et les autorisations, le système RH n’est souvent pas assez complet. Mais, il n’empêche que c’est une première étape, essentielle vers une meilleure gestion des identités et accès, qui permet de résoudre quelques problèmes majeurs d’Identity management auxquels sont confrontés aujourd’hui les administrateurs systèmes et les responsables informatiques.

N’hésitez pas de me contacter si vous désirez en savoir plus sur ce sujet. Je suis joignable par téléphone au 01 53 42 29 55 ou par email à p.baas@tools4ever.com p.baas@tools4ever.com

Un Portail libre service pour toutes les demandes informatiques

Le challenge est évident :
L’organisation veut avoir accès, facilement et rapidement, aux services et ressources que proposent le Service Informatique, et…le service informatique a la responsabilité de garantir la sécurité et la stabilité. Dans la pratique ces intérêts paraissent souvent contradictoires, mais cependant, il est toujours possible de proposer des solutions offrant plus de services à l’ensemble de l’organisation sans pour autant que cela soit source de problèmes pour les informaticiens. Il est même possible de faire profiter le service informatique de cette même solution.

Le scénario :
L’organisation voudrait être capable de faire une demande de compte utilisateur pour des collaborateurs externes, et voudrait que ces comptes soient actifs immédiatement.

De plus les collaborateurs voudraient plus rapidement avoir accès à leurs applications, sans se perdre dans des discours interminables entre leur manager ou le service informatique (va et vient entre les différents services).

Comment cela marche aujourd’hui ?
Pour les collaborateurs temporaires il y a en général une procédure ou un formulaire (papier) devant être rempli, et qui en passant en premier lieu par le service RH arrive finalement au service informatique. Là, on constate souvent qu’il y a des données qui manquent, ce qui provoque des appels pour clarifier de quoi le nouveau collaborateur a besoin « exactement ».
Ensuite la demande risque de trainer parce que l’administrateur d’une des applications doit encore valider les autorisations pour le système financier (par exemple) pour lequel il a besoin de l’autorisation d’un autre service.

Ceci est juste un exemple, qui montre que souvent les demandes venant de l’organisation requièrent l’intervention de plusieurs personnes, avec à chaque étapes une validation et exécution par le service informatique. Parce qu’il s’agit d’une procédure manuelle, l’informatique peut aussi jouer le rôle de process-manager, et doit contrôler la continuité, la qualité et la communication.

Comment optimiser ?
Il est possible de créer un portail self service (web-shop) sécurisé et personnalisé où les collaborateurs de l’organisation eux-mêmes peuvent faire des demandes électroniques (e-forms). Une demande peut passer par une ou plusieurs validations avant d’arriver au service informatique. Logique n’est-ce pas ? Et comme ca on traduit techniquement le scénario/procédure.
Mais on peut facilement aller plus loin. Toutes les personnes qui ont accès au portail self-service peuvent à chaque moment suivre le statut de la demande, qui doit faire la prochaine action et aussi qui a validé quoi.

Le portail self service s’adaptera automatiquement à la structure de l’organisation, si ce dernier est connecté au système RH. Le portail self service pourrait y trouver automatiquement la relation entre un collaborateur et son manager. Mais aussi d’autres informations pertinentes aux services (intitulé de poste, centre de coûts…) et les montrer sur le formulaire électronique.
Ainsi on respecte la hiérarchie de l’organisation et en même temps cela permet de personnaliser les formulaires de telle manière que toutes les bonnes informations arrivent au bon moment au service informatique.

Le service informatique qui reçoit la « commande » peut ainsi s’assurer qu’elle est correcte, qu’elle est validée par le responsable et que les informations arrivent au bon moment, car les demandes arrivent automatiquement et nominativement.
Ces trois points : « correct/complet », « validé » et « à temps » rendent la réalisation beaucoup plus facile pour les administrateurs. Les communications et confirmations sont gérées automatiquement par le portail libre service (web shop).

Cliquez ici pour voir les possibilités du portail self service ou pour voir une démo du « web-shop ».

Gestion automatique des tickets du service support informatique pour les comptes utilisateurs et droits d’accès

En général, un chef de service utilise ces formulaires Web pour annoncer l’arrivée ou le départ d’un employé. Il peut demander la création d’un compte, d’une boîte aux lettres, ou encore des droits d’accès à des fichiers partagés ou à certaines applications.

À la fin du formulaire ou du workflow, un ticket est envoyé au service support informatique, qui va alors créer le compte et les ressources ou demander que cela soit fait par les administrateurs système.

Ce travail manuel prend du temps et il peut s’avérer source d’erreurs car d’une part, les données sont entrées directement dans Active Directory ou dans d’autres systèmes, et d’autre part, il s’agit d’une double saisie des données car celles-ci l’ont déjà été par le demandeur.

Outre l’existence au sein même de la solution UMRA d’un système de gestion du workflow et d’un outil de création des formulaires Web, cette solution peut aussi être déployée dans un contexte pré-existant afin d’optimiser et d’automatiser au maximum le processus de gestion des comptes utilisateurs.

Ainsi, dans le cas d’une institution financière, UMRA a été configurée pour traiter automatiquement tous les nouveaux tickets liés aux utilisateurs, ainsi que leurs droits et leurs ressources.

Les avantages :

  • un temps de mise en œuvre court de 2 jours pour traiter automatiquement tous les tickets liés à des utilisateurs et à des droits d’accès ;
  • un gain de temps important pour les administrateurs ;
  • la garantie que toutes les normes sont respectées ;
  • l’inutilité de saisir les mêmes données deux fois, avec des erreurs possibles ;
  • la possibilité de traiter des demandes dans différents systèmes (Active Directory, système de messagerie, bases de données et applications).

De cette façon, toutes les informations disponibles à partir de la demande sont utilisées de façon optimale.

Dans ce genre de situation, les formulaires Web gérés par l’Intranet de l’entreprise ne sont souvent pas dynamiques, ce qui peut éventuellement être un inconvénient.
Ainsi, les données de configuration telles que les différents services existant dans l’entreprise, les groupes ou les unités organisationnelles dans Active Directory, ainsi que la relation entre un employé et son supérieur hiérarchique doivent être gérées séparément et souvent manuellement.

Tout à l’inverse des formulaires UMRA qui sont entièrement dynamiques et capables de récupérer des informations dynamiquement à partir d’Active Directory ou le système des RH, afin de créer les listes déroulantes mises à jour automatiquement dans les formulaires utilisés.

Cliquez ici pour en savoir plus sur la solution UMRA

Votre stratégie de gestion des identités : un menu « à la carte »

Les projets de gestion des identités ont la réputation d’être longs, coûteux et techniquement complexes. Et si vous pouviez bénéficier des avantages d’une stratégie de gestion des identités sans les tracas et les frais généraux associés aux projets techniquement complexes ? Et cela dans les limites de votre budget ?

Grâce à des centaines de projets de gestion des identités gérés par leurs consultants techniques, Tools4ever a été en mesure de définir un certain nombre de bonnes pratiques de gestion des identités visant à atteindre le meilleur résultat avec un minimum d’efforts.

Parmi ces bonnes pratiques, on trouve la création d’un véritable modèle de maturité de la gestion des identités et la gestion des identités « à la carte ». Cette dernière démontre la capacité de Tools4ever à fournir des solutions précises ainsi qu’une approche intégrée de la gestion des identités.

Voici quelques exemples de solutions « à la carte » qui ont été mises en place (le temps de mise en œuvre estimé se réfère aux organisations de taille moyenne, soit environ 2 000 utilisateurs) :

  •     délégation et traçabilité de la gestion de tous les comptes utilisateurs et de leurs ressources (2 jours) ;
  •     synchronisation avec le système RH (2 jours) ;
  •     portail de gestion des identités en self-service et gestion du workflow (5 jours) ;
  •     RBAC (contrôle d’accès à base de rôles) de niveau 1 (entre 3 et 5 jours) ;
  •     portail Web pour l’audit et la gestion des droits NTFS ou des groupes AD (2 jours) ;
  •     identification unique pour vos 10 principales applications (3 jours) ;
  •     réinitialisation du mot de passe en mode self-service (1-3 jours);
  •     synchronisation des mots de passe (1 journée).

Un menu intéressant ? Qu’est-ce qui vous tente ?

Rendez-vous sur le site www.tools4ever.fr pour en savoir plus sur nos solutions et comment elles peuvent vous aider à atteindre vos objectifs de gestion des identités.

Nous voulons automatiser toute la gestion des identités et des accès, MAIS…

Nous entendons de plus en plus souvent de la part de nos clients la volonté d’automatiser tous les aspects de leur processus de gestion des identités.

Inévitablement, au cours de nos discussions, nous découvrons des éléments spécifiques qui constituent des exceptions à la règle et qui s’avèrent difficiles, voire parfois impossibles à traiter automatiquement. Il est possible que la grande majorité des nouveaux comptes utilisateurs et des accès puissent être traités de façon automatique et que seules quelques rares exceptions requièrent une intervention humaine.

À cette fin, une solution hybride d’automatisation de la gestion du cycle de vie des comptes utilisateurs peut être envisagée. Voici un exemple d’un tel système hybride basé sur l’outil UMRA (User Management Resource Administrator) de Tools4ever :

Lorsqu’un nouvel utilisateur est entré dans le système de gestion des ressources humaines (RH), un processus automatisé génère le nouveau compte utilisateur sur la base de critères prédéfinis, mais au lieu de créer effectivement le compte dans Active Directory, une « demande » est placée dans la file d’attente en vue d’un examen ultérieur.

Un courrier électronique indiquant que des éléments sont en attente d’être examinés est envoyé à un groupe. Un administrateur système ou un agent du service support informatique se connecte alors à un portail Web pour examiner la demande. Si tout semble correct, il lui suffit de cliquer sur un bouton Soumettre pour exécuter la création du compte dans AD, dans un système de messagerie électronique (Exchange, Google, Lotus) ou dans l’un des nombreux autres systèmes.

Si de plus amples informations sont nécessaires, par exemple :

  • l’appartenance à un groupe spécifique
  • l’augmentation de la capacité de stockage des boîtes aux lettres
  • l’accès à des listes de diffusion
  • etc….

alors l’administrateur système ou l’agent du service support informatique peut rajouter les ressources nécessaires, puis cliquer sur le bouton « Soumettre » pour terminer le traitement.

Ce processus est surtout utile pour les organisations comprenant des populations très différentes dans l’AD, comme par exemple une université avec des comptes étudiants (standard) et des comptes de collaborateurs (profils plus spécifiques et à enrichir).

En utilisant cette méthode hybride, il est extrêmement facile de gérer des scénarios de création de comptes, qu’ils soient simples ou complexes.