La Gestion des Identités

La Gestion des Identités

Stéphane GARNERO – OCTO

Benoît de CHATEAUVIEUX – OCTO

2011 © Université du Système d’Information1

2011 © Université du Système d’Information

Au programme…

2

A la découverte de la GDI

Différentes approches pour

un projet GDI

Retour d'expérience

Les défis de demain


A la découverte de la

Gestion des Identités

(GDI)

3



Tu lui supprimes

tous ses comptes !

Acte 1


http://www.flickr.com/photos/chilsta/2477667353



Pattern n°1 : l'Identifiant Unique Personnel (IUP)

Comment relier, à des fins d'administration ou

d'imputabilité, une personne à ses différents

comptes informatiques ?

8


Pattern n°1 : l'Identifiant Unique Personnel (IUP)

9

IUP : P017653

Nom: Marchand

Prénom: Olivier

Service: Etudes


http://www.flickr.com/photos/horrgakx/2963449929


On aimerait bien

avoir accès à tes

fiches d'identité !

Acte 2


Pattern n°2 : l'Annuaire centralisé

Comment fournir un service d'authentification et

de stockage de données d'identité utilisable par

le plus grand nombre d'applications du SI ?

12


Pattern n°2 : l'Annuaire centralisé

13

IUP : P017653

Nom : Doe

Prénom : John

Service : Etudes


Désolé…

OK

En raison d'un trop grand nombre de tentatives de connexion,votre compte a été verrouillé. Veuillez contacter Alex !


Impossible de

mémoriser tout ces

mots de passe !

Acte 3


Pattern n°3 : Single Sign On (SSO)

Comment fournir un service d'authentification

unique, sans revalidation des mots de passe des

utilisateurs par les applications ?

16


Pattern n°3 : Single Sign On (SSO)

17

SSO


Jason Hargrove / http://www.flickr.com/photos/salty_soul/4165612432/


On passe notre

temps à créer des

comptes !

Acte 4

Et souvent on

oublie de les

supprimer… !


Automatiser


Attention ! N'oublie pas

qu'on doit valider la

création de ces

comptes !

Acte 4


http://www.flickr.com/photos/nfirmani/4772874615/


Workflow(on fait ça en Gestion Documentaire

depuis des années !)


Pattern n°4 : Le provisioning

Comment assurer l'attribution de ressources aux

collaborateurs de l'entreprise conformément aux

procédures organisationnelles (RH) et de

sécurité (rôles) en vigueur ?

24


Pattern n°4 : Le provisioning

25


Patterns…

26


Les éditeurs & les outils

27

Les éditeurs proposent des "Suites GDI" Un outil par pattern GDI

Exception pour les solutions de SSO

Les trois challengers potentiels


Les trois "Grands" se détachent en tête

Les éditeurs & les outils

Editeurs50%

Open Source50%


Le bilan

29






Retour d'expérience…

34


Contexte

• 15 000 comptes Active Directory

• 400 serveurs de fichiers

• 48 000 comptes SAP

• 60 mandants SAP sur 10 systèmes

35

PERIMETRE

32007300

7800

17500

23000

45850

55000

900 950 11003500 4500

900011000

20

05

20

06

20

07

20

08

20

09

20

10

20

11

DEPLOIEMENT

Nb de requêtes

Utilisateurs gérés

DEPLOIEMENT

OBJECTIF

Couvrir 80%

des requêtes courantes

parvenant au Pôle Habilitations.



AUTONOMIE

37

Un des objectifs d’un projet de GDI

Redonner de l’

aux utilisateurs


Pari Gagnant - Gagnant

38

• Ses demandes n’attendent plus pour être traitées

• Il a la maitrise des validations

Utilisateur final

•Toutes les demandes sont validées

•Traçage des actions

Sécurité

•Diminution du traitement manuel des requêtes

•Diminution de la charge de travail

Informatique

39

Relever le défi

des utilisateurs

Eduquer les utilisateurs

les plus réfractaires ou récalcitrants

40 2011 © Université du Système d’Information


1 2

2 idées pour entrainer l'adhésion !

Faciliter

l’accès

Faciliter

l’usage


Faciliter l’accès

Home de l’Intranet

Lien sur le bureau

URL mnémotechnique

42

Mes Comptes

1


Faciliter l’usage

43

2

Changer monMot de Passe

Ergonomie

Intégration à la charte graphique

Applications autoportantes


Faciliter l’usage

44

2

Rejet


Faciliter l’usage

45

2


Principe de déploiement

46


Les projets de GDI

font parti de ceux qui apportent

beaucoup de valeur

47

Mais font aussi partie

des projets pouvant être

complexes à mettre en œuvre

Si on essaie de tout faire en

même temps !

Principe de déploiement

$$


Réussite du projet

Organisationnelle

Fonctionnelle

Technique

48

Les trois types de complexité


Séquencer !

49

http://www.flickr.com/photos/sovietuk/488949072

Si on attaque tout de front… On cours à l’échec !

Organisationnelle

Fonctionnelle

Technique

Complexité


Séquencer

50

Volettechnique

0

2

4

6

8

Sélectionner

uniquement les cibles

principales pour démarrer


Séquencer

51

Volettechnique

0

2

4

6

8

Sélectionner



Voletfonctionnel

•Envoie

•Notification

Demande

•RFI

•Notification

Validation•Agent Cible

•Trace

Activation

Débuter

avec des processus simples


Séquencer

52

Volettechnique

0

2

4

6

8

Sélectionner



Voletfonctionnel

Volet organisationnel

•Envoie

•Notification

Demande

•RFI

•Notification

Validation•Agent Cible

•Trace

Activation

Débuter

avec des processus simples

Phase Pilote

(sur un périmètre restreint)

Déploiement graduel


Ensuite… Enrichissez !

53

Volettechnique

0

2

4

6

8

Ajoutez de nouvelles cibles

Voletfonctionnel

Volet organisationnel

Affinez vos processusDéployez de nouvelles entités

à un rythme soutenable

Demande par

les services RH

Création Fiche

CARM

Création

compte réseau +

messagerie

Affectations

automatiques(DL, Groupes)

Création

compte CARM

Envoi du mot de passe

réseau au responsable de la personne

Envoi du mot de

passe CARM au bénéficiaire

Notification du demandeur

et du responsable de la personne


Les défis de demain

54


Je veux proposer

un extranet à mes

partenaires…

Acte 5

La GDI, ça

marche aussi

pour mes applis

sur le Cloud ?


L'ouverture du SI…

Un extranet, oui !…

mais je ne veux pas

gérer la base des

utilisateurs de mes

partenaires!

Provisioning,

SSO ?


Nouveaux

challenges


Définir des relations de confiance entre organisations

58

Ensemble de règles, de pratiques et de protocoles afin de

véhiculer, entre organisations, l'identité des utilisateurs


La Fédération d'Identité

Une relation de confiance entre

59

SAML

Fournisseur d'Identité(Identity Provider)

Fournisseur de Service(Service Provider)

Standards


Exemple:

Le SSO sur Google Apps


Exemple: Le SSO sur Google Apps

61

Génération de la

requête SAML

Authentification

de l'utilisateur

Génération de la

réponse SAML

Vérification de la

réponse SAML

http://mail.masociete.com

Redirection vers la page de login (SSO URL)

Envoi de la réponse SAML

Accès autorisé !



62

Génération de la

requête SAML

Authentification

de l'utilisateur

Génération de la

réponse SAML

Vérification de la

réponse SAML

http://mail.masociete.com

Redirection vers la page de login (SSO URL)

Envoi de la réponse SAML

Accès autorisé !

Connaissance de l'URL SSOde l'Identity Provider

Capacité à vérifier la réponse SAML



63

Connaissance de l'URL SSOde l'Identity Provider

Capacité à vérifierla réponse SAML


Pour conclure

64


La boite à outils de la GDI est bien remplie !

http://www.flickr.com/photos/usonian/393607706


http://www.flickr.com/photos/mdpny/3684977779

Chaque projet GDI est unique !


Focus sur l'utilisateur !

http://www.flickr.com/photos/22070130@N07/4286197306/


Déploiement progressif !


Marché mature

Solutions éditeurs éprouvées

Nombreux retours projets

69

Nouvelles pratiques

Nouvelles applications (Cloud)

La GDI sort des murs de l'entreprise


Pour aller plus loin…

70

Technology

La Gestion des Identités