Archives du mot-clef sap

Implémenter le Single Sign On / Authentification Unique avec SAP

La suite SAP ERP est un système ERP pour toute l’entreprise comprenant de nombreux modules et une multitude de méthodes d’authentification possibles. Dans bon nombre d’organisations, les utilisateurs se connectent à SAP en utilisant différentes méthodes et identifiants. Par exemple, les utilisateurs peuvent se connecter via SAP GUI, via Business Objects for SAP, via une connexion Excel comme SAP Bex et même via Powerpoint (fichiers PPT). Beaucoup d’entreprise possèdent aussi des versions différentes de SAP (version 6 ou 7).

Un bon nombre d’organisations tendent à simplifier le processus d’authentification pour SAP grâce au Single Sign On. Mais ce n’est pas toujours chose aisée, et plus particulièrement si une partie des modules et des interfaces de SAP ne sont pas liés à Active Directory.

Chez Tools4ever, nous sommes spécialisés dans l’implémentation du Single Sign On pour les entreprises. Nous avons une forte expérience dans l’implémentation de l’authentification unique pour SAP sans avoir à modifier l’environnement SAP et en général, 2 à 3 jours d’interventions sont suffisants pour couvrir toutes vos connexions et instances SAP. Le Single Sign On pour SAP est configuré à partir d’E-SSOM (Enterprise SSO Manager) et permet aux utilisateurs de se connecter automatiquement toutes leurs instances SAP après s’être authentifié.

Des études de cas d’implémentations de Single Sign On sont disponibles ici (lire les études de cas pour Truffaut et SGD).

Pour plus d’informations sur E-SSOM et le Single Sign On pour SAP, contactez votre bureau Tools4ever le plus proche.

Gestion automatique des comptes utilisateurs à partir d’un SIRH

J’ai animé un atelier de travail au Pays-Bas il y a quelques mois par rapport à la gestion des identités et des accès. La première partie de l’atelier était centrée sur une étude de cas d’identity management pour une organisation dans le secteur de la santé, présentée par un de nos clients…

La deuxième partie de l’atelier consistait en une session interactive dans laquelle je répondais à différentes questions par rapport à la gestion d’identités. Dans cet article j’aimerais revenir sur un des sujets traités car, il y’eu un grand intérêt de la part de l’auditorium pour ce thème.

La question redondante était ‘Quels sont les conditions à remplir avant d’implémenter un auto-provisioning à partir d’un SIRH ?’ comme par exemple SAP HR, Peoplesoft, Sage, HR Access, Sigma-RH, Cegid etc.

Qu’est-ce qu’un connecteur d’auto-provisioning avec un SIRH ?
Il s’agit d’un connecteur qui détecte chaque changement dans le système RH, et gère ensuite les impacts de ces modifications dans le réseau informatique. Par exemple : un nouveau collaborateur intègre l’organisation et le service RH le saisit dans le système RH (par exemple Peoplesoft). Le système RH contient les noms et l’adresse de l’employée, mais aussi la date d’embauche, le type de contrat, le service ou il va travailler, le salaire etc. Quand le lien avec le Système RH détecte le changement, le compte utilisateur est créé dans le réseau informatique. Ainsi, le nouveau collaborateur peut dès son premier jour de travail se connecter au réseau, envoyer des emails, et accéder aux répertoires et applications de son service. Le même type de modification peut être effectué par rapport au changement de service, de poste, ou de lieu de travail.

Enfin, un compte utilisateur peut aussi être désactivé (ou démonter) ce qu’on appelle ‘de-provisioning’.

Les exigences du système RH
Quels sont maintenant les exigences pour intégrer avec succès un outil de provisioning avec un système RH? Il est clair que l’auto-provisioning a beaucoup d’avantages pour le service informatique : tout le processus de gestion de compte utilisateur peut quasiment être effectué automatiquement sur la base d’une source de confiance. C’est cette dernière qui contient les informations essentielles comme le salaire et, est gérée avec beaucoup de précision par le service RH, qui doit être bien organisé au niveau administratif.

A cause de ces avantages immédiats pour le service informatique et par rapport à la sécurité (les comptes des utilisateurs qui partent sont automatiquement désactivés) on oublie souvent les conditions suivantes :

Le moment de création
Un compte utilisateur doit être créé et être disponible des le premier jour de travail du collaborateur. C’est souvent le premier jour du mois. Bien que pour un système RH, les nouveaux collaborateurs soient souvent saisis dans le système plus tard, par exemple au 15 du mois, juste avant la production des salaires. Si c’est le cas, il est important que les procédures/façon de travailler du service des Ressources Humaines soient adaptées avant qu’un lien automatique de provisioning soit mis en place.

Il va sans dire que cela peut poser toute sortes de problèmes voir réticences du service DRH…

Exhaustivité
Pour tous les comptes utilisateurs dans le réseau, un contrat doit être présent dans le SIRH. Ceci n’est souvent pas le cas, surtout s’il s’agit de gens de l’extérieur (freelance, agences d’emploi etc. Ce type de collaborateur n’est souvent pas géré dans le SIRH car il n’y a pas d’obligation légale de le faire, et le salaire n’est pas payé et géré de la même manière que pour un collaborateur régulier.

Un détail intéressant est que ce groupe de personnes est souvent la cause de la plus grande parti des mutations/changements dans le réseau.

Il est rare qu’après avoir établi un lien avec le SIRH ce genre de personnes soit saisit dans le SIRH. L’investissement en temps et en effort pour enregistrer ces personnes comme des collaborateurs ne vaut souvent pas la peine pour des ‘temporaires’.

Pour des collaborateurs temporaires il faut alors une alternative. On conseille souvent de créer un formulaire électronique ou portail web qui permet au chef de service ou leurs assistants de gérer eux-mêmes les comptes de ces collaborateurs.

Hors du problème des collaborateurs temporaires l’exhaustivité au niveau du SIRH se joue aussi par rapport à :

1) champ numéro de sécurité sociale. Ce champ est le plus pratique pour l’identification unique entre le collaborateur dans le SIRH et le système de gestion de comptes utilisateurs dans le réseau (par exemple Active Directory, E Directory, LDAP etc.). Si le numéro de sécurité social n’est pas disponible pour tous les collaborateurs dans le système RH, l’identification devient plus difficile…

2) la relation collaborateur :: service :: chef de service, est importante aussi. Souvent la relation entre collaborateur et service est présente mais la relation entre ‘service’ et le chef de ce service n’est pas toujours gérée dans le SIRH.

Avec la relation collaborateur :: service :: chef de service il est possible d’automatiser beaucoup de tâches/activités par rapport à la gestion de comptes utilisateurs, par exemple :

Notification d’un nouveau collaborateur à son chef, notification et traitement du départ d’un collaborateur (désactivation de compte en plusieurs étapes dans le temps…) informer le manager sur les droits/applications des gens qui travaillent dans son service, etc.

Pertinence
En général les collaborateurs se font moins de soucis pour une erreur sur leur nom sur leur fiche de paie, que sur un nom incorrect dans le nom affiché dans un email. Un nom incorrect (par exemple nom de jeune fille au lieu de nom de partenaire) dans la liste des emails provoque immédiatement une demande de changement par l’employée. La pertinence des données dans la base RH devient donc primordial…
Volonté
Mettre en œuvre un lien avec le SIRH demande plus de la saissi des collaborateurs dans le système. Souvent le service RH ne se rend pas toute de suite compte de ce changement, mais une (petite) partie des appels au helpdesk se transfère maintenant au service RH. La raison d’un adresse email avec une faute d’orthographe n’est plus le résultat d’une mauvaise saisie de la part du service informatique mais d’une erreur de frappe du service RH. Grace au lien automatique le collaborateur doit alors contacter le Service RH au lieu du service informatique s’il veut que le changement soit fait. Puisque le système RH est maintenant ‘la source’ des informations correctes ou incorrectes…

Peut être ces différents points doivent être considérés dans le processus de mise en œuvre d’un tel lien. Faites attention, il s’agit juste d’une liste non exhaustive et il peut y avoir beaucoup de situations spécifiques pour l’organisation en question, pouvant être résolu de manières différentes.

N’hésitez pas à revenir vers moi si vous désirez en savoir plus sur ce sujet. Je suis joignable par téléphone chez Tools4ever au 01 53 43 29 55 ou par email à p.baas@tools4ever.com

Les Sept raisons expliquant l’importance d’un lien AD-SIRH

Bien que pour certains les avantages d’un lien direct entre le système RH et le Active Directory est évident, il m’arrive toujours presque chaque jour – de parler avec des responsables informatique qui n’osent pas ou ne veulent pas mettre en place un lien automatique de provisioning entre le SIRH (tel que SAP HR, Peoplesoft, Sage, HR Access, Sigma-RH, Cegid etc.) et Active Directory :

Pourquoi alors est-il si important de réaliser ce lien? Quels en sont les avantages? Et quels sont les risques s’il n’est pas implémenté ?

1. Risques de sécurité

Exemples : pour chaque personne quittant l’organisation, le service informatique doit pouvoir garantir que ses comptes utilisateurs soient désactivés et le respect de procédure (désactivation de comte, out office, informer le manager par email quant à la désactivation de compte et la possibilités d’accéder pendant une certain temps au données, rappeler le manager par email avant d’archiver ou supprimer les données).

2. Réduction considérable de travail

La gestion des utilisateurs et des droits dans l’Active directory, Exchange, le système fichier ainsi que d’autres systèmes prend beaucoup de temps, et si ce travail est fait manuellement, il y’a toujours des erreurs, ce qui veut dire encore plus de travail et mécontentement au niveau des utilisateurs et chefs de services.

Un autre aspect est que ce travail de gestion des comptes utilisateurs est en général quelque chose qui est fait au dernier instant, dans la précipitation, mettant une pression inutile sur les administrateurs systèmes.

Et que se passe t-il si l’administrateur système n’est pas là, indisponible, ou remplacé ?

3. Elimination d’erreurs

Grâce au lien entre Active Directory et le système RH on a finalement un Active Directory étant à jour et basé sur les règles de standardisation de l’organisation…

4. Importance de l’Active Directory

Puisque l’Active directory devient de plus en plus important et que de plus en plus de systèmes s’auto provisionnent ou sont liés à ce dernier, il est impératif que ces données soient à jours, ne contenant pas erreurs demandant ainsi le moins de travail possible.

5. Meilleur service aux utilisateurs

Si aujourd’hui il n’est pas exceptionnel de voire qu’il faille d’une à deux journées avant qu’un nouveau collaborateur puisse travailler réellement, une connexion entre l’AD et le système RH permet d’augmenter considérablement le service fourni à l’organisation et aux utilisateurs finaux. La gestion (création, changement, désactivation) des comptes utilisateurs se fait maintenant en ‘temps réel’.

6. Responsabilité là ou il faut…

Dès qu’il y a une erreur ou un retard au niveau de la gestion des accès ou la gestion des comptes utilisateurs, la faute est souvent rejetée vers le service informatique. Alors qu’en fait beaucoup d’erreurs proviennent du fait que les bonnes informations ne remontent pas ou n’arrivent pas au bon moment, au service informatique. Un lien avec le système RH permet de mettre la responsabilité là ou il faut : Vers les personnes qui ont les informations nécessaires (le service RH dans ce cas la)

7. Vous gardez le contrôle !

Parfois les informaticiens n’aiment pas perdre le contrôle sur ce qui se passe dans l’Active Directory. Ils ont raison en partie. Mais un lien avec le système RH n’est pas forcement synonyme de cela. Il est très facile de créer des reportings automatiques pour les administrateurs systèmes qui rendent compte exactement de tous changements dans l’AD, ou bien de mettre en place un système de validation où l’administrateur système ou le Helpdesk valide chaque changement avec un simple clique, sans avoir à faire tous ce travail manuellement.

Bien sur le lien entre l’Active Directory et le système RH n’est parfois pas la solution ultime ou complète. Par exemple s’il s’agit de gérer en détail les droits et les autorisations, le système RH n’est souvent pas assez complet. Mais, il n’empêche que c’est une première étape, essentielle vers une meilleure gestion des identités et accès, qui permet de résoudre quelques problèmes majeurs d’Identity management auxquels sont confrontés aujourd’hui les administrateurs systèmes et les responsables informatiques.

N’hésitez pas de me contacter si vous désirez en savoir plus sur ce sujet. Je suis joignable par téléphone au 01 53 42 29 55 ou par email à p.baas@tools4ever.com p.baas@tools4ever.com