Archives du mot-clef workflow

Utiliser une interface web simple et intuitive afin de gérer les comptes utilisateurs dans Active Directory et d’autres systèmes/applications

Utiliser l’interface administrateur d’Active Directory afin de gérer les comptes utilisateurs et les droits d’accès présente de nombreux désavantages, comme par exemple :

  • Sécurité : les utilisateurs doivent être connectés avec des droits administrateurs et généralement les droits administrateur de domaine.
  • L’interface native d’Active Directory Utilisateurs et Ordinateurs que Microsoft propose n’est pas très intuitive : un grand nombre d’onglet à parcourir, d’attributs à gérer et de clics à effectuer rendent le processus sujet aux erreurs et aux oublis.
  • Le respect des standards comme la nomenclature interne ou les profils de gestion de groupes est très complexe à contrôler dès lors que la création, modification ou désactivation de comptes sont effectuées par plusieurs personnes.
  • Temps : créer, modifier et nettoyer les comptes au sein d’active directory prend un temps considérable du fait que bon nombre d’actions sont réalisées manuellement.
  • Ressources : gérer les comptes utilisateurs Active Directory n’est pas le travail le plus passionnant, les tâches sont répétitives et le plus souvent effectuées par des administrateurs senior à cause des niveaux de droits requis.

Mettre en place une interface web simple et intuitive pour la gestion des utilisateurs Active Directory

Avec un outil comme UMRA, il est possible de mettre en place une interface web pour gérer les comptes utilisateurs et les droits d’accès au sein d’Active Directory et d’autres systèmes/applications comme Lotus Notes, AS400, SAP, Office 365, Google Apps etc…

Une telle interface peut être installée et paramétrée aux besoins du client en 2 à 3 jours.

Les avantages sont les suivants :

Une interface simple qui permet à n’importe qui, et ce sans la moindre connaissance d’Active Directory, de créer, modifier et désactiver des comptes utilisateurs.

Sécurité : Aucun besoin de donner les droits administrateurs pour déléguer des tâches spécifiques

Respect de vos standards : la nomenclature et la gestion des attributs d’Active Directory sont automatiques et garantis. L’interface ne nécessite que le nom et le prénom de l’utilisateur ainsi qu’un ou deux champs à sélectionner. Les standards et les règles sont configurés dans les outils en amont de telle sorte qu’ils sont automatiquement respectés.

Temps : tout cela génère du temps libre pour les administrateurs senior et rend la gestion des utilisateurs dix fois plus rapide et plus efficace.
Possibilité d’ajouter des étapes de validation dans le workflow, et même de déléguer la gestion des utilisateurs aux chefs de services.

L’interface web d’UMRA pour Active Directory permet aussi de gérer les comptes non Active Directory comme par exemple AS400, SAP, Lotus Notes, Google Apps, Office 365, Salesforce etc…

Si vous désirez voir l’efficacité et la simplicité de l’interface web pour Active Directory dans votre organisation, contactez simplement le bureau Tools4ever le plus proche et demandez une démonstration.

Eléments à prendre en considération pour la réussite d’un projet RBAC

On trouve de plus en plus d’articles sur Internet montrant comme quoi la gestion des accès basée sur des Rôles (Role Based Access Control ou RBAC en anglais) est un concept qui ne tient plus la route.

Avec 10 années d’expérience dans l’Identity Management, Tools4ever – il est vrai – a souvent, même très souvent, été témoin d’initiatives de gestion des accès basée sur des rôles qui …ne tenaient pas la route.

Quelles sont les raisons d’un tel échec? Et quelles sont les bonnes pratiques pour réussir son projet?

Voici quelques éléments :

1/ N’essayez surtout pas de créer une matrice des accès et des rôles complète
Lors de l’implémentation de projet de RBAC, on rencontre souvent des sociétés de conseil qui consacrent beaucoup de temps – parfois des années – a faire des interviews et autres actions nécessitant pas mal d’efforts dans le but de construire la matrice parfaite contenant tous les rôles et accès qui existent dans l’organisation. C’est une approche très couteuse qui amène rarement au résultat voulu. Puisque l’organisation elle-même ne peut pas être considéré comme statique, viser la matrice des rôles ‘complète’ risque de devenir une histoire sans fin.

2/ Essayez de travailler selon un modèle pyramidale
– Si l’on veut vraiment obtenir de bons résultats sans démarrer un projet couteux, la méthode pyramidale est à conseiller. L’idée principale est que l’ensemble des accès peut être vu comme une pyramide, avec des accès fondamentaux et d’autres moins essentiels. Exemple des différents niveaux
– Niveau organisation (OS, login + e-mail)
– Niveau département/service (dossier(s) de partage , applications métier)
– Niveau fonction intitulé de poste (plus détaillées)
– Niveaux des autorisations / rôles les plus détaillés (exemple rôles dans SAP)

Les avantages principaux de cette méthode sont : des résultats immédiats et l’application de la règle des 80/20 (80% du résultat avec 20% des efforts)

3/  Faites la différence entre les autorisations et accès structurées et ad-hoc :
Un des risques des projets relatifs à la gestion des accès basée sur des rôles est de se perdre dans la jungle des autorisations. En effet, il n’est pas concevable d’extraire un modèle type de rôles à partir des autorisations et accès de bas niveau dans la pyramide car bien souvent ils ont été attribués arbitrairement ou exceptionnellement et, de ce fait, ne sont pas structurées. En revanche, certains accès et autorisations sont structurées et peuvent très bien représenter un rôle précis s’inscrivant donc complètement dans la définition du modèle. Il faut impérativement différentier ces deux types dès le début du projet car le processus de gestion et la collecte des informations se rapportant à ces deux types d’autorisations sont différents.

Au départ les accès et autorisations non-structurées peuvent très bien être gérés par un système de demande par workflow, avec traçabilité pour alimenter par la suite la matrice avec plus de détails.

Autres éléments
D’autres éléments importants sont :
– Les pré-requis de conformité (exemple ‘segregation of duty’ dans SOX)
– Gestion de l’existant par rapport au future (as is – to be)
– Les descriptions des rôles /accès fonctionnels et techniques (demande fonctionnelle vs. réalité technique)

Pour en savoir plus sur la gestion des rôles, et la gestion des accès n’hésitez pas à prendre contact avec nous.

Evitez les accidents sur la route de l’Identity Management

Ne pas commencez un projet de Gestion des Identités et des Accès en étant pressé.

Gérer les identités ou les comptes utilisateurs dans le réseau devient un challenge de plus en plus grand pour les entreprises.
Les administrateurs système ne doivent plus seulement gérer des infrastructures de plus en plus complexe avec un grand nombre de changements dans les comptes utilisateurs (collaborateurs qui quittent l’entreprise, changent d’état civil, ou changent de service). Ils sont aussi les garants du respect de règles de conformité en matière de sécurité IT qui sont de plus en plus stricts, et qui nécessitent que toutes les actions liées à la gestion des comptes utilisateurs soient loggés, tracées.

En automatisant certaines tâches de gestion telles que « Créer utilisateur »,  « Supprimer utilisateur » ou « Réinitialiser Mot de Passe », une traçabilité peut être garantie. C’est l’un des avantages le plus pertinent des solutions de gestion des identités et des accès. Mais le gain de temps et la réduction des coûts jouent également un rôle. Les services responsables de l’administration du parc informatique se rendent compte de plus en plus de l’avantage d’automatiser les changements au niveau des comptes utilisateurs, mais bien souvent ils se lancent trop rapidement dans l’implémentation d’une (sorte de) solution de gestion des identités et des accès. Et quand cette décision est prise avec trop de précipitation, il y a un certain nombre de pièges classiques dans lesquels ils risquent de tomber.

Vider le bassin sans fermer le robinet…

Un des pièges est de choisir une solution d’ exporting/reporting pure pour satisfaire des besoins d’audit. L’auditeur demande une « vue centrale » des autorisations et des accès qui doivent être attribués selon des règles puis une autre correspondant aux privilèges qui sont réellement donnés aux utilisateurs finaux dans le réseau. Pour satisfaire cette demande le plus facilement, il est possible de faire un export périodique de toutes les autorisations par collaborateurs dans le réseau et de le comparer avec la configuration comme elle devrait être.

La liste avec des différences non acceptables (collaborateur ayant trop d’habilitations, collaborateur ayant quitté l’entreprise, collaborateur ayant une combinaison d’habilitations non cohérente) doit être ensuite corrigée manuellement dans le réseau. Le grand désavantage de cette méthode « rapide » est qu’à chaque fois la pollution réapparait et doit être de nouveau corrigée. Ainsi cette solution reviendrait à vider un bassin sans avoir prit soin de fermer avant le robinet. Une solution structurelle serait de faire en sorte que par des processus d’autoprovisioning, de gestion des accès par les rôles et de système de gestion de workflow, les différences non acceptables n’aient plus lieu.

Gestion des Accès basée sur les rôles (RBAC)

L’implémentation de la RBAC (Role Based Acces Control) amène rapidement vers ce piège classique : Beaucoup d’organisation ont pour but de réaliser un autoprovisioning qui supporte à 100% les rôles. C’est-à-dire que les comptes utilisateurs sont créés sur la base de rôles et poste qu’occupe un collaborateur dans l’organisation.

Ce ne pas pour rien que la RBAC est souvent appelé la PBAC (Person Based Acces Control)! Car dans la pratique, l’autoprovisioning basé sur des rôles ne peut pas couvrir toutes les instances.

Souvent, il y a autant de rôles et des postes dans l’organisation qu’il y a de collaborateurs ; ce qui entraine donc un nombre presque infini de rôles vis-à-vis des ressources informatiques. Créer et remplir la matrice des rôles et habilitations devient alors souvent un processus fastidieux, long et inefficace. Par la suite, si l’organisation change, fusionne ou se réorganise, le travail doit être recommencé à partir de zéro.

Le Collaborateur en place centrale

Un des autres pièges classiques est de ne pas donner une place centrale aux collaborateurs eux-mêmes ainsi qu’aux managers dans le processus d’IDM. Le manager sait exactement de quoi ses utilisateurs/collaborateurs ont besoin pour faire leur travail. Et le collaborateur lui-même est capable de dire de quoi il a besoin pour faire son travail. Pourquoi alors ne pas leur permettre de faire eux même des demandes via un système de self service avec un système de workflow ?

En conclusion : beaucoup d’organisations souhaitent implémenter d’une traite un environnement d’Identity Management complet. Bien que dans la pratique cela soit possible, un projet d’une telle envergure dure assez longtemps et les premiers vrais résultats sont visibles qu’après des mois et des mois de travail.
Souvent il est plus convenable d’attaquer le sujet par phases. Ceci donne la flexibilité et l’espace d’implémenter sa solutions d’Identity management pas à pas. Les investissements nécessaires sont proportionnels avec le type d’implémentation dans l’organisation et en quelques semaines, des résultats visibles peuvent déjà être réalisé à moindre coût. De tels résultats garantissent souvent une bonne acceptation de l’initiative dans l’organisation.

Essayez d’éviter les pièges classiques en n’entrant pas trop précipitamment dans un projet de Gestion des Identités. Etudiez les possibilités et prenez conscience que tout ne devrait pas être fait en une seule fois. Mieux vaut faire des étapes pour éviter l’accident sur la route de l’Identity Management.

Cliquez ici pour obtenir plus d’informations sur les avantages de la gestion des identités et des accès.

Un premier envol avec la gestion des accès basée sur des rôles

RBAC (Role Based Accès Control) ou en français, la gestion des accès basée sur des rôles est à la mode !

De plus en plus d’organisations prennent conscience de l’importance d’harmoniser et gérer les habilitations/accès informatiques de manière structurée. Aujourd’hui il n’est pas rare de rencontrer le fonctionnement suivant dans une organisation : pour créer les accès, on fait un ‘copier coller’ d’un collègue qui a ‘plus ou moins’ la même fonction.

De ce fait, on se retrouve avec des collaborateurs qui ont accès à des systèmes et/ou applications dont ils n’ont nul besoin.

Une fois que l’utilisateur possède ces accès, il est rare que ces derniers soient ‘ajustés’ durant sont cycle de vie dans l’entreprise. Ce fonctionnement n’est pas sans conséquences pour la sécurité des données mais aussi pour le cout en licences informatique par exemple.
La gestion des accès basée sur des rôles (RBAC) est une possibilité pour résoudre cette problématique. RBAC consiste en l’élaboration d’une matrice des rôles, fonctions, accès et droits précis. Lors de l’arrivée d’un nouveau collaborateur, on peut déterminer facilement ce qu’il peut et ce qu’il ne peut pas faire dans le réseau grâce à cette matrice. Ce qui est vrai dans un monde idéal…

Dans la pratique, remplir une telle matrice pose souvent beaucoup de problèmes. Les collaborateurs se sentent souvent uniques ce qui provoque une matrice avec autant de rôles qu’il y a de collaborateurs. Dans ce cas la, l’organisation s’engage alors dans un projet où elle ne verra jamais la lueur au bout du tunnel !

A ce juste titre, beaucoup d’organisations sont réticentes à l’implémentation d’une RBAC. Cependant, d’autres organisations se lancent dans l’aventure et ont pour objectif de positionner 100% des collaborateurs, et accès dans la matrice des rôles. C’est un travail immense, complexe et quasiment sans fin qui peut occuper les responsables sécurité et management pendant des années !

Vous souhaitez avoir un résultat rapide pour la RBAC ? C’est tout à fait possible, mais dans ce cas, ne vous focalisez pas sur une couverture à 100% dès le départ. Grâce au SIRH, il est possible d’extraire facilement le top 50 des services et fonctions de votre organisation. Dans la plupart des cas, cela remplira déjà votre matrice à 80% ! Et cela en quelques jours seulement. Par la suite, les 20% restant pourront être rempli par les managers grâce à une application de workflow.

Même si des années peuvent s’écouler avant que votre matrice ne soit complétée à 100%, on peut néanmoins, en utilisant un système d’information source existant tel que le SIRH et en impliquant les managers dans le processus, remplir la matrice RBAC selon un processus contrôlé, efficace avec des résultats immédiats. L‘effort nécessaire est minimalisé, et le bénéfice ressortira lors d’audits liés à la sécurité informatique. Mais aussi d’autres bénéfices : réduction des coûts de licence informatique et stockage de données ainsi qu’une réduction des incidents de sécurité.

Pour plus d’information sur la gestion des accès par les rôles, visitez : www.tools4ever.fr

Migration Active Directory: Sept Méthodes pour le Nettoyage de l’Annuaire

Souvent les outils de migration de l’annuaire AD copient les données existantes unes à unes ce qui a pour effet de copier la pollution également. Un nettoyage de l’annuaire s’impose, soit avant la migration ou bien après pour avoir enfin un Active Directory propre et à jour.

Les outils de gestion des identités et des accès peuvent aider. Notamment des outils flexibles comme par exemple UMRA, car même si ils ne réalisent pas la migration à proprement parler, c’est parfait pour faire des opérations pré et post “nettoyage” dans le but de faciliter le processus et s’assurer que vous ne perdez pas de temps.

En quelques jours UMRA aide les administrateurs pour :

  • Nettoyer les comptes inactifs avant la migration pour ne pas avoir à les basculer.
  • Créer des rapports détaillés sur les affiliations aux groupes vers des bases de données ou des fichiers CSV pour pouvoir les recréer dans un nouvel environnement sans avoir à les ressaisir manuellement.
  • Créer des rapports détaillés sur les groupes inutilisés (groupes sans membres) pour ne pas avoir à les migrer.
  • Nettoyer les noms des groupes avant la migration, respecter une convention de nommage pour les groupes en utilisant de nouvelles règles pour tous les groupes. En général 2 domaines ont des conventions de nommage différentes, UMRA peut s’assurer que tous les groupes utilisent la même pour éviter d’éventuels conflits pendant la migration à proprement dit.
  • Nettoyer les noms des utilisateurs après la migration en se connectant à un système RH ou à une extraction du système RH, pour s’assurer que tous les comptes migrés soient tous propres.
  • Remplir les attributs non utilisés au préalable par exemple « titre », « service », « bureau », après que la migration soit terminée.
  • Utiliser les informations contenues dans des rapports disponibles depuis une base de données ou un fichier CSV sur les affiliations aux groupes pour créer en masse une nouvelle structure de permissions dès que la migration est terminée. Si le domaine source utilisait des groupes par département et le domaine cible utilisait des groupes par localité, vous pouvez simplement tous copier et fusionner. UMRA peut être utilisé pour créer les groupes manquants vers les domaines sources/cibles et lier ces groupes à des comptes utilisateurs.

Imaginez un patient existant deux fois dans le SIH en raison d’une faute de frappe ou d’une autre erreur. Cela signifie que ce patient a deux dossiers médicaux contenant des informations différentes. Les médecins peuvent alors manquer des informations importantes s’ils n’ont pas accès au dossier complet du patient. Ainsi, un patient allergique à la pénicilline pourrait recevoir un traitement à base de pénicilline à cause d’une erreur de saisie dans le SIH.

À l’aide des processus et des outils utilisés pour la gestion des identités, comme la solution UMRA de TOOLS4EVER, et en tirant profit de la capacité d’UMRA à détecter des doublons existants ou éventuels dans différents systèmes, on pourrait « sauver des vies ».
À ce titre, les différents processus de rapprochement disponibles dans UMRA facilitent cette tâche et permettent de détecter très tôt un doublon éventuel et d’envoyer une notification à la personne qui gère les données afin de valider s’il s’agit bien du même patient. UMRA peut évidemment aussi gérer toute la partie traçabilité relative aux alertes remontées et la manière dont elles ont été traitées.

Pour en savoir plus, cliquez ici.

Gestion automatique des tickets du service support informatique pour les comptes utilisateurs et droits d’accès

En général, un chef de service utilise ces formulaires Web pour annoncer l’arrivée ou le départ d’un employé. Il peut demander la création d’un compte, d’une boîte aux lettres, ou encore des droits d’accès à des fichiers partagés ou à certaines applications.

À la fin du formulaire ou du workflow, un ticket est envoyé au service support informatique, qui va alors créer le compte et les ressources ou demander que cela soit fait par les administrateurs système.

Ce travail manuel prend du temps et il peut s’avérer source d’erreurs car d’une part, les données sont entrées directement dans Active Directory ou dans d’autres systèmes, et d’autre part, il s’agit d’une double saisie des données car celles-ci l’ont déjà été par le demandeur.

Outre l’existence au sein même de la solution UMRA d’un système de gestion du workflow et d’un outil de création des formulaires Web, cette solution peut aussi être déployée dans un contexte pré-existant afin d’optimiser et d’automatiser au maximum le processus de gestion des comptes utilisateurs.

Ainsi, dans le cas d’une institution financière, UMRA a été configurée pour traiter automatiquement tous les nouveaux tickets liés aux utilisateurs, ainsi que leurs droits et leurs ressources.

Les avantages :

  • un temps de mise en œuvre court de 2 jours pour traiter automatiquement tous les tickets liés à des utilisateurs et à des droits d’accès ;
  • un gain de temps important pour les administrateurs ;
  • la garantie que toutes les normes sont respectées ;
  • l’inutilité de saisir les mêmes données deux fois, avec des erreurs possibles ;
  • la possibilité de traiter des demandes dans différents systèmes (Active Directory, système de messagerie, bases de données et applications).

De cette façon, toutes les informations disponibles à partir de la demande sont utilisées de façon optimale.

Dans ce genre de situation, les formulaires Web gérés par l’Intranet de l’entreprise ne sont souvent pas dynamiques, ce qui peut éventuellement être un inconvénient.
Ainsi, les données de configuration telles que les différents services existant dans l’entreprise, les groupes ou les unités organisationnelles dans Active Directory, ainsi que la relation entre un employé et son supérieur hiérarchique doivent être gérées séparément et souvent manuellement.

Tout à l’inverse des formulaires UMRA qui sont entièrement dynamiques et capables de récupérer des informations dynamiquement à partir d’Active Directory ou le système des RH, afin de créer les listes déroulantes mises à jour automatiquement dans les formulaires utilisés.

Cliquez ici pour en savoir plus sur la solution UMRA

Autoprovisionnement des Comptes Utilisateurs

Dans combien de systèmes votre organisation doit-elle gérer manuellement les comptes utilisateurs et combien de temps et de tracas un système d’autoprovisionnement vous épargnerait-il ?

Chaque société de 500 salariés ou plus peut être un jour confrontée à la situation suivante : Les techniciens du service informatique passent un temps considérable  à gérer les  comptes utilisateurs au sein des différents systèmes et vous sentez intuitivement qu’il existe un processus plus simple et plus rapide.

Imaginez une organisation de 5000 utilisateurs et tous les différents systèmes au sein desquels doivent être gérés les comptes utilisateurs. De tels systèmes sont, par exemple :

  • L’annuaire central (souvent Active Directory, parfois Novell ou open LDAP)
  • Le système e-mail (Exchange, Lotus Notes ou d’autres)
  • Le système ERP (SAP, Siebel, Oracle, AS400 etc…)
  • Un système CRM (par exemple Salesforce)
  • Le système téléphonique (Cisco, Avaya, Alcatel, etc…)
  • Un Système Helpdesk (GLPI, HP Openview, BMC Remedy, etc…)
  • Le portail intranet de la Société
  • Le système de gestion des documents (DMS)

Il s’agit d’une liste non exhaustive des applications les plus communément utilisées, mais il y en a beaucoup plus, et en fonction du nombre d’utilisateurs que comporte chacune de ces applications  et de leur niveau d’intégration avec l’Active Directory (authentification LDAP), le nombre réel de comptes utilisateurs gérés au sein de l’organisation peut facilement s’élever à 20 voire 25.000.

Indépendamment de la charge de travail que cela représente, désactiver, supprimer ou modifier ces comptes utilisateurs manuellement est souvent une tâche fastidieuse et génératrice d’erreurs. Si l’on considère de surcroît  la sécurité et la standardisation, les procédures gérées manuellement peuvent être synonymes de mauvaises surprises en cas d’audit.

Voici précisément où le provisionnement automatique des comptes utilisateurs entre en jeu  Le but de ce principe est simple : Avoir un système central à partir duquel les comptes utilisateurs sont gérés automatiquement autant que faire se peut. La solution UMRA (User Management Resource Administrator) de Tools4ever permet de régler le problème selon le schéma suivant :

  • Délégation Helpdesk : Une façon centralisée de gérer les comptes utilisateurs (création, modification, désactivation, suppression) avec des formulaires web simple pour gérer les comptes AD, les droits NTFS et les comptes e-mail).
  • Synchronisation avec le système RH. Création automatique des comptes des salariés entrants et désactivation, suppression  des comptes des salariés sortants.
  • Délégation des formulaires web au sein de l’organisation. Les managers peuvent à présent lancer le processus d’autoprovisionning avec les mêmes formulaires web. Le SI peut agir comme validateur
  • Fonctionnalité de gestion du Workflow : un système évolué de gestion des workflows  de bout en bout.
  • Self-Service : Un mode de fonctionnement en self service permettant aux utilisateurs finaux de gérer eux-mêmes certains de leurs besoins informatiques.

Si votre société galère toujours avec la gestion manuelle des comptes utilisateur, n’hésitez pas à contacter Tools4ever.