› _media › federation › evenements... · gestion des identités à l’université de rennes...
TRANSCRIPT
![Page 1: › _media › federation › evenements... · Gestion des identités à l’Université de Rennes 1 de LDAP à OpenIdm2018-09-27 · • activation du compte depuis PWM 1. saisir](https://reader031.vdocuments.pub/reader031/viewer/2022041820/5e5d7c544e17ab0f030c5639/html5/thumbnails/1.jpg)
Gestion des identités à l’Université de Rennes 1de LDAP à OpenIDM
Saâd Aït Omar
Olivier Salaün
![Page 2: › _media › federation › evenements... · Gestion des identités à l’Université de Rennes 1 de LDAP à OpenIdm2018-09-27 · • activation du compte depuis PWM 1. saisir](https://reader031.vdocuments.pub/reader031/viewer/2022041820/5e5d7c544e17ab0f030c5639/html5/thumbnails/2.jpg)
Notre ancienne gestion des identités
difficilement maintenable…
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 12
![Page 3: › _media › federation › evenements... · Gestion des identités à l’Université de Rennes 1 de LDAP à OpenIdm2018-09-27 · • activation du compte depuis PWM 1. saisir](https://reader031.vdocuments.pub/reader031/viewer/2022041820/5e5d7c544e17ab0f030c5639/html5/thumbnails/3.jpg)
La nouvelle architecture
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 13
![Page 4: › _media › federation › evenements... · Gestion des identités à l’Université de Rennes 1 de LDAP à OpenIdm2018-09-27 · • activation du compte depuis PWM 1. saisir](https://reader031.vdocuments.pub/reader031/viewer/2022041820/5e5d7c544e17ab0f030c5639/html5/thumbnails/4.jpg)
Plusieurs bases métier
Plusieurs établissements partenaires (IEP, ENSCR, UBL, ESPE, ENS...)
Trois référentiels et plusieurs applications : Sésame, OpenIDM, Grouper, PWM, Rabbitmq…
Plusieurs annuaires : openldap, Active Directory…
De multiples services : messagerie, stockage…
Plusieurs acteurs : utilisateurs des comptes et des services, gestionnaires des bases métier, gestionnaires Sésame, gestionnaires des groupes, administrateurs, RSSI…
Gestion d’identités
De multiples composants et acteurs
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 14
![Page 5: › _media › federation › evenements... · Gestion des identités à l’Université de Rennes 1 de LDAP à OpenIdm2018-09-27 · • activation du compte depuis PWM 1. saisir](https://reader031.vdocuments.pub/reader031/viewer/2022041820/5e5d7c544e17ab0f030c5639/html5/thumbnails/5.jpg)
Le référentiel des utilisateurs
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 15
![Page 6: › _media › federation › evenements... · Gestion des identités à l’Université de Rennes 1 de LDAP à OpenIdm2018-09-27 · • activation du compte depuis PWM 1. saisir](https://reader031.vdocuments.pub/reader031/viewer/2022041820/5e5d7c544e17ab0f030c5639/html5/thumbnails/6.jpg)
Combinaison de plusieurs modes de synchronisations des données (module
provisionning) :
• mode reconciliation (batch) : réconciliation globale entre toutes les bases sources
et le référentiel
• mode liveSync : propagation des changements des bases métiers en temps
presque réel
Contrôle et consolidation des informations des personnes des différentes bases
métier (module Policy)
Dé-doublonnage à deux niveaux :
• dans les bases métier (vues métier avec trigger)
• pendant les synchronisations (module workflow)
Gestion du cycle de vie (scripts groovy - taskscaner) :
• détection des changements et modification de l’état des comptes : notification
fermeture, désactivation, suppression.
Le référentiel des utilisateurs :
Le choix de OpenIDM
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 16
![Page 7: › _media › federation › evenements... · Gestion des identités à l’Université de Rennes 1 de LDAP à OpenIdm2018-09-27 · • activation du compte depuis PWM 1. saisir](https://reader031.vdocuments.pub/reader031/viewer/2022041820/5e5d7c544e17ab0f030c5639/html5/thumbnails/7.jpg)
Un modèle de données de type json pour chaque objet :
• individu• compte informatique• nomenclature
Ce référentiel est géré par l’application OpenIDM et contient plusieurs entités :
Les individus
Les comptes informatiques
Les nomenclatures nécessaires au bon fonctionnement de la GI :
Les nomenclatures sésame
Les nomenclatures Harpege
Les nomenclatures Apogée
Les nomenclatures Koha
Le référentiel des utilisateurs :
Les objets manipulés
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 17
AlimentationConsolidation
IndividuCompte
Nomenclature
UR1
OpenIDMECR
IEP
UBL
![Page 8: › _media › federation › evenements... · Gestion des identités à l’Université de Rennes 1 de LDAP à OpenIdm2018-09-27 · • activation du compte depuis PWM 1. saisir](https://reader031.vdocuments.pub/reader031/viewer/2022041820/5e5d7c544e17ab0f030c5639/html5/thumbnails/8.jpg)
À 1 individu => N comptes informatiques.
1 compte informatique a obligatoirement 1responsable physique pour les comptes nominatifs.
Un compte informatique est créé sans service
• réduction des risques de réservation inutile des ressources ;
• réduction des risques d’utilisation de services dormants.
Un compte informatique a un cycle de vie(création, activation, modification, désactivation, réactivation, suppression) associé au profil utilisateur.
Le cycle de vie des ressources est associé au même cycle de vie du compte.
Le référentiel des utilisateurs :
Relation individu – compte informatique nominatif
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 18
compteInformatique
identifiant1idParent (individu)profil1
compteInformatique
identifiant2idParent (individu)profil2
individu
idIDMinfosPersoinfosEtatCivilprofils
![Page 9: › _media › federation › evenements... · Gestion des identités à l’Université de Rennes 1 de LDAP à OpenIdm2018-09-27 · • activation du compte depuis PWM 1. saisir](https://reader031.vdocuments.pub/reader031/viewer/2022041820/5e5d7c544e17ab0f030c5639/html5/thumbnails/9.jpg)
Le tableau des types de comptes
vers une amélioration des droits d’accès
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 19
personnel etudiant lecteur cnn
personnel_titulaire_biatss etudiant_candidat lecteur_ph cnn_boiteFonctionnelle
personnel_titulaire_enseignantChercheur etudiant_inscrit lecteur_externe cnn_technique
personnel_cdi_biatss etudiant_doctorant cnn_formation
personnel_cdi_enseignantChercheur cnn_prestataire
personnel_contractuel_biatss cnn_inviteTemporaire
personnel_contractuel_enseignantChercheur cnn_demoTest
personnel_contractuelDoctorant_enseignantChercheur cnn_congres
personnel_vacataire_biatss
personnel_heberge_vacataire
personnel_heberge_externe
personnel_heberge_stagiaire
personnel_heberge_emeritat
personnel_heberge_autre
![Page 10: › _media › federation › evenements... · Gestion des identités à l’Université de Rennes 1 de LDAP à OpenIdm2018-09-27 · • activation du compte depuis PWM 1. saisir](https://reader031.vdocuments.pub/reader031/viewer/2022041820/5e5d7c544e17ab0f030c5639/html5/thumbnails/10.jpg)
o Les objectifs au niveau SSI :• accès aux services et ressources au plus tôt ;
• arrêt des accès au plus tôt
o L’automatisation du cycle de vie s’appuie sur des règles communes à tous les comptes informatiques, ces règles utilisent les informations suivantes :
• la date de fin d’activité (DFA) : c’est la date de fin d’activité d’un agent, la date de fin du cycle d’étude d’un étudiant ou la date de fin d’inscription d’un lecteur.
• la durée maximale d’un compte (DM) : pour les comptes non nominatifs c’est la durée maximale d’un compte
• le délai de courtoisie (DC) : le délai de prolongement de l’état actif d’un compte au delà de la date de fin d’activité
• le sursis (S) : le délai de conservation des comptes et des ressources associées avant la suppression définitive
Le référentiel des utilisateurs :
Cycle de vie des comptes
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 110
Déroulement du cycle de vie en 5 étapes
![Page 11: › _media › federation › evenements... · Gestion des identités à l’Université de Rennes 1 de LDAP à OpenIdm2018-09-27 · • activation du compte depuis PWM 1. saisir](https://reader031.vdocuments.pub/reader031/viewer/2022041820/5e5d7c544e17ab0f030c5639/html5/thumbnails/11.jpg)
Le référentiel des mots de passe
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 111
![Page 12: › _media › federation › evenements... · Gestion des identités à l’Université de Rennes 1 de LDAP à OpenIdm2018-09-27 · • activation du compte depuis PWM 1. saisir](https://reader031.vdocuments.pub/reader031/viewer/2022041820/5e5d7c544e17ab0f030c5639/html5/thumbnails/12.jpg)
référentiel des mots de passe
• utilisateur autonome pour gérer son mot de passe
• code d’activation => adresse mail privée
• activation du compte depuis PWM
1. saisir la clé activation
2. accepter la charte informatique
3. choisir un mot de passe
4. activer ses services informatiques
PWM (https://github.com/pwm-project/pwm)
• application open source dédiée
• fonctionnalités utilisateur : activation de compte, changement de mot de passe, reset mot de passe
• paramétrage : complexité mots de passe, dictionnaires de mots de passe, remote REST, intégration avec un portail,
intégration avec notre GI
• initialisation du compte PWM depuis OpenIdm
• nouveau mot de passe poussé vers nos annuaires
Le référentiel des mots de passe
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 112
Mots de passe
IHMPWMindividu
openldap Active Directory
![Page 13: › _media › federation › evenements... · Gestion des identités à l’Université de Rennes 1 de LDAP à OpenIdm2018-09-27 · • activation du compte depuis PWM 1. saisir](https://reader031.vdocuments.pub/reader031/viewer/2022041820/5e5d7c544e17ab0f030c5639/html5/thumbnails/13.jpg)
Le système de messages : rabbitMQ
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 113
![Page 14: › _media › federation › evenements... · Gestion des identités à l’Université de Rennes 1 de LDAP à OpenIdm2018-09-27 · • activation du compte depuis PWM 1. saisir](https://reader031.vdocuments.pub/reader031/viewer/2022041820/5e5d7c544e17ab0f030c5639/html5/thumbnails/14.jpg)
protocole de messagerie entre applications
• gestion de files d’attente entre producteurs et consommateurs
• fiabilité du protocole AMQP
découplage entre cœur GI et services périphériques
• producteur = OpenIDM
• consommateurs = scripts de gestion des services
utilisation
• pousser les mots de passe
• activer services (stockage, messagerie, etc)
• mises à jour services
• deprovisionning services
rabbitMQ
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 114
![Page 15: › _media › federation › evenements... · Gestion des identités à l’Université de Rennes 1 de LDAP à OpenIdm2018-09-27 · • activation du compte depuis PWM 1. saisir](https://reader031.vdocuments.pub/reader031/viewer/2022041820/5e5d7c544e17ab0f030c5639/html5/thumbnails/15.jpg)
rabbitMQ
exemple du service Partage
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 115
![Page 16: › _media › federation › evenements... · Gestion des identités à l’Université de Rennes 1 de LDAP à OpenIdm2018-09-27 · • activation du compte depuis PWM 1. saisir](https://reader031.vdocuments.pub/reader031/viewer/2022041820/5e5d7c544e17ab0f030c5639/html5/thumbnails/16.jpg)
Le référentiel des groupes
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 116
![Page 17: › _media › federation › evenements... · Gestion des identités à l’Université de Rennes 1 de LDAP à OpenIdm2018-09-27 · • activation du compte depuis PWM 1. saisir](https://reader031.vdocuments.pub/reader031/viewer/2022041820/5e5d7c544e17ab0f030c5639/html5/thumbnails/17.jpg)
Choix de l’outil Grouper pour la gestion des groupes :
• fonctionnalités de provisionning ;
• IHM utilisateurs pour la manipulation des groupes ;
• possibilité de délégation.
Exemples d’utilisation :
• contrôler l’accès aux imprimantes par les usagers ;
• automatiser la création des espaces via les groupes Grouper et gérer les accès utilisateurs (lecture/écriture) via ces mêmes groupes.
Le référentiel des groupes
L’application Grouper
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 117
Alimentation
Les autres
Groupesorganisationnels
manuels
UR1
ECR
IEP
UBL
![Page 18: › _media › federation › evenements... · Gestion des identités à l’Université de Rennes 1 de LDAP à OpenIdm2018-09-27 · • activation du compte depuis PWM 1. saisir](https://reader031.vdocuments.pub/reader031/viewer/2022041820/5e5d7c544e17ab0f030c5639/html5/thumbnails/18.jpg)
Les annuaires LDAP
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 118
![Page 19: › _media › federation › evenements... · Gestion des identités à l’Université de Rennes 1 de LDAP à OpenIdm2018-09-27 · • activation du compte depuis PWM 1. saisir](https://reader031.vdocuments.pub/reader031/viewer/2022041820/5e5d7c544e17ab0f030c5639/html5/thumbnails/19.jpg)
Les annuaires ne sont plus les référentiels des comptes.
Le contenu de ces annuaires dérive de l’intégration des données des trois référentiels :
• données métier et données techniques du référentiel des utilisateurs ;
• données de l’appartenance aux groupes ;
• empreintes des mots de passe.
Pour garantir la cohérence des accès, les services clients ne doivent utiliser que le contenu des annuaires.
Les annuaires LDAP
Annuaires vs référentiels
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 119
IndividuCompte
Groupes
Mots de passe
PeuplementIntégration
openldap Active Directory
AuthentificationCAS, SHIB, …
AuthentificationPostes de travail
Services, applications, postes de travail
![Page 20: › _media › federation › evenements... · Gestion des identités à l’Université de Rennes 1 de LDAP à OpenIdm2018-09-27 · • activation du compte depuis PWM 1. saisir](https://reader031.vdocuments.pub/reader031/viewer/2022041820/5e5d7c544e17ab0f030c5639/html5/thumbnails/20.jpg)
Sésame
• activation des services utilisateur
• gestion déléguée des comptes non nominatifs
Sésame consultation
• pour les équipes de support
• vue agrégée des infos sur utilisateur (openIdm, pwm, ldap, AD)
Les outils « maison »
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 120
![Page 21: › _media › federation › evenements... · Gestion des identités à l’Université de Rennes 1 de LDAP à OpenIdm2018-09-27 · • activation du compte depuis PWM 1. saisir](https://reader031.vdocuments.pub/reader031/viewer/2022041820/5e5d7c544e17ab0f030c5639/html5/thumbnails/21.jpg)
déploiement (alotissement)
• lot 1 (comptes non nominatifs) : mai 2017
• lot 2 (personnels) : juillet 2017
• lot 3 (étudiants) : novembre 2017
• lot 4 (lecteurs) : décembre 2017
les difficultés
• ampleur du projet
• qualité des données (double saisies dossiers, fiabilité adresse mail privée)
Etat du déploiement et difficultés rencontrés
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 121
![Page 22: › _media › federation › evenements... · Gestion des identités à l’Université de Rennes 1 de LDAP à OpenIdm2018-09-27 · • activation du compte depuis PWM 1. saisir](https://reader031.vdocuments.pub/reader031/viewer/2022041820/5e5d7c544e17ab0f030c5639/html5/thumbnails/22.jpg)
provisionning au fil de l’eau
déprovisionningautomatique
autonomie utilisateurs ++
délégation gestion comptes et groupes
gestion des mots de passe ++
facilité à intégrer nouveaux services (ex: Partage)
meilleure intégration avec SIGB (Koha)
traitement des doublons
ménage dans annuaire LDAP
Gains observés
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 122
![Page 23: › _media › federation › evenements... · Gestion des identités à l’Université de Rennes 1 de LDAP à OpenIdm2018-09-27 · • activation du compte depuis PWM 1. saisir](https://reader031.vdocuments.pub/reader031/viewer/2022041820/5e5d7c544e17ab0f030c5639/html5/thumbnails/23.jpg)
vos questions ?