la gestion des identités
TRANSCRIPT
La Gestion des Identités
Stéphane GARNERO – OCTO
Benoît de CHATEAUVIEUX – OCTO
2011 © Université du Système d’Information1
2011 © Université du Système d’Information
Au programme…
2
A la découverte de la GDI
Différentes approches pour
un projet GDI
Retour d'expérience
Les défis de demain
2011 © Université du Système d’Information
A la découverte de la
Gestion des Identités
(GDI)
3
2011 © Université du Système d’Information4
2011 © Université du Système d’Information5
Tu lui supprimes
tous ses comptes !
Acte 1
2011 © Université du Système d’Information6
http://www.flickr.com/photos/chilsta/2477667353
2011 © Université du Système d’Information7
2011 © Université du Système d’Information
Pattern n°1 : l'Identifiant Unique Personnel (IUP)
Comment relier, à des fins d'administration ou
d'imputabilité, une personne à ses différents
comptes informatiques ?
8
2011 © Université du Système d’Information
Pattern n°1 : l'Identifiant Unique Personnel (IUP)
9
IUP : P017653
Nom: Marchand
Prénom: Olivier
Service: Etudes
2011 © Université du Système d’Information10
http://www.flickr.com/photos/horrgakx/2963449929
2011 © Université du Système d’Information11
On aimerait bien
avoir accès à tes
fiches d'identité !
Acte 2
2011 © Université du Système d’Information
Pattern n°2 : l'Annuaire centralisé
Comment fournir un service d'authentification et
de stockage de données d'identité utilisable par
le plus grand nombre d'applications du SI ?
12
2011 © Université du Système d’Information
Pattern n°2 : l'Annuaire centralisé
13
IUP : P017653
Nom : Doe
Prénom : John
Service : Etudes
2011 © Université du Système d’Information14
Désolé…
OK
En raison d'un trop grand nombre de tentatives de connexion,votre compte a été verrouillé. Veuillez contacter Alex !
2011 © Université du Système d’Information15
Impossible de
mémoriser tout ces
mots de passe !
Acte 3
2011 © Université du Système d’Information
Pattern n°3 : Single Sign On (SSO)
Comment fournir un service d'authentification
unique, sans revalidation des mots de passe des
utilisateurs par les applications ?
16
2011 © Université du Système d’Information
Pattern n°3 : Single Sign On (SSO)
17
SSO
2011 © Université du Système d’Information18
Jason Hargrove / http://www.flickr.com/photos/salty_soul/4165612432/
2011 © Université du Système d’Information19
On passe notre
temps à créer des
comptes !
Acte 4
Et souvent on
oublie de les
supprimer… !
2011 © Université du Système d’Information20
Automatiser
2011 © Université du Système d’Information21
Attention ! N'oublie pas
qu'on doit valider la
création de ces
comptes !
Acte 4
2011 © Université du Système d’Information22
http://www.flickr.com/photos/nfirmani/4772874615/
2011 © Université du Système d’Information23
Workflow(on fait ça en Gestion Documentaire
depuis des années !)
2011 © Université du Système d’Information
Pattern n°4 : Le provisioning
Comment assurer l'attribution de ressources aux
collaborateurs de l'entreprise conformément aux
procédures organisationnelles (RH) et de
sécurité (rôles) en vigueur ?
24
2011 © Université du Système d’Information
Pattern n°4 : Le provisioning
25
2011 © Université du Système d’Information
Patterns…
26
2011 © Université du Système d’Information
Les éditeurs & les outils
27
Les éditeurs proposent des "Suites GDI" Un outil par pattern GDI
Exception pour les solutions de SSO
Les trois challengers potentiels
2011 © Université du Système d’Information28
Les trois "Grands" se détachent en tête
Les éditeurs & les outils
Editeurs50%
Open Source50%
2011 © Université du Système d’Information
Le bilan
29
2011 © Université du Système d’Information30
2011 © Université du Système d’Information31
2011 © Université du Système d’Information32
2011 © Université du Système d’Information33
2011 © Université du Système d’Information
Retour d'expérience…
34
2011 © Université du Système d’Information
Contexte
• 15 000 comptes Active Directory
• 400 serveurs de fichiers
• 48 000 comptes SAP
• 60 mandants SAP sur 10 systèmes
35
PERIMETRE
32007300
7800
17500
23000
45850
55000
900 950 11003500 4500
900011000
20
05
20
06
20
07
20
08
20
09
20
10
20
11
DEPLOIEMENT
Nb de requêtes
Utilisateurs gérés
DEPLOIEMENT
OBJECTIF
Couvrir 80%
des requêtes courantes
parvenant au Pôle Habilitations.
2011 © Université du Système d’Information36
2011 © Université du Système d’Information
AUTONOMIE
37
Un des objectifs d’un projet de GDI
Redonner de l’
aux utilisateurs
2011 © Université du Système d’Information
Pari Gagnant - Gagnant
38
• Ses demandes n’attendent plus pour être traitées
• Il a la maitrise des validations
Utilisateur final
•Toutes les demandes sont validées
•Traçage des actions
Sécurité
•Diminution du traitement manuel des requêtes
•Diminution de la charge de travail
Informatique
39
Relever le défi
des utilisateurs
Eduquer les utilisateurs
les plus réfractaires ou récalcitrants
40 2011 © Université du Système d’Information
2011 © Université du Système d’Information41
1 2
2 idées pour entrainer l'adhésion !
Faciliter
l’accès
Faciliter
l’usage
2011 © Université du Système d’Information
Faciliter l’accès
Home de l’Intranet
Lien sur le bureau
URL mnémotechnique
42
Mes Comptes
1
2011 © Université du Système d’Information
Faciliter l’usage
43
2
Changer monMot de Passe
Ergonomie
Intégration à la charte graphique
Applications autoportantes
2011 © Université du Système d’Information
Faciliter l’usage
44
2
Rejet
2011 © Université du Système d’Information
Faciliter l’usage
45
2
2011 © Université du Système d’Information
Principe de déploiement
46
2011 © Université du Système d’Information
Les projets de GDI
font parti de ceux qui apportent
beaucoup de valeur
47
Mais font aussi partie
des projets pouvant être
complexes à mettre en œuvre
Si on essaie de tout faire en
même temps !
Principe de déploiement
$$
2011 © Université du Système d’Information
Réussite du projet
Organisationnelle
Fonctionnelle
Technique
48
Les trois types de complexité
2011 © Université du Système d’Information
Séquencer !
49
http://www.flickr.com/photos/sovietuk/488949072
Si on attaque tout de front… On cours à l’échec !
Organisationnelle
Fonctionnelle
Technique
Complexité
2011 © Université du Système d’Information
Séquencer
50
Volettechnique
0
2
4
6
8
Sélectionner
uniquement les cibles
principales pour démarrer
2011 © Université du Système d’Information
Séquencer
51
Volettechnique
0
2
4
6
8
Sélectionner
uniquement les cibles
principales pour démarrer
Voletfonctionnel
•Envoie
•Notification
Demande
•RFI
•Notification
Validation•Agent Cible
•Trace
Activation
Débuter
avec des processus simples
2011 © Université du Système d’Information
Séquencer
52
Volettechnique
0
2
4
6
8
Sélectionner
uniquement les cibles
principales pour démarrer
Voletfonctionnel
Volet organisationnel
•Envoie
•Notification
Demande
•RFI
•Notification
Validation•Agent Cible
•Trace
Activation
Débuter
avec des processus simples
Phase Pilote
(sur un périmètre restreint)
Déploiement graduel
2011 © Université du Système d’Information
Ensuite… Enrichissez !
53
Volettechnique
0
2
4
6
8
Ajoutez de nouvelles cibles
Voletfonctionnel
Volet organisationnel
Affinez vos processusDéployez de nouvelles entités
à un rythme soutenable
Demande par
les services RH
Création Fiche
CARM
Création
compte réseau +
messagerie
Affectations
automatiques(DL, Groupes)
Création
compte CARM
Envoi du mot de passe
réseau au responsable de la personne
Envoi du mot de
passe CARM au bénéficiaire
Notification du demandeur
et du responsable de la personne
2011 © Université du Système d’Information
Les défis de demain
54
2011 © Université du Système d’Information55
Je veux proposer
un extranet à mes
partenaires…
Acte 5
La GDI, ça
marche aussi
pour mes applis
sur le Cloud ?
2011 © Université du Système d’Information56
L'ouverture du SI…
Un extranet, oui !…
mais je ne veux pas
gérer la base des
utilisateurs de mes
partenaires!
Provisioning,
SSO ?
2011 © Université du Système d’Information57
Nouveaux
challenges
2011 © Université du Système d’Information
Définir des relations de confiance entre organisations
58
Ensemble de règles, de pratiques et de protocoles afin de
véhiculer, entre organisations, l'identité des utilisateurs
2011 © Université du Système d’Information
La Fédération d'Identité
Une relation de confiance entre
59
SAML
Fournisseur d'Identité(Identity Provider)
Fournisseur de Service(Service Provider)
Standards
2011 © Université du Système d’Information60
Exemple:
Le SSO sur Google Apps
2011 © Université du Système d’Information
Exemple: Le SSO sur Google Apps
61
Génération de la
requête SAML
Authentification
de l'utilisateur
Génération de la
réponse SAML
Vérification de la
réponse SAML
http://mail.masociete.com
Redirection vers la page de login (SSO URL)
Envoi de la réponse SAML
Accès autorisé !
2011 © Université du Système d’Information
Exemple: Le SSO sur Google Apps
62
Génération de la
requête SAML
Authentification
de l'utilisateur
Génération de la
réponse SAML
Vérification de la
réponse SAML
http://mail.masociete.com
Redirection vers la page de login (SSO URL)
Envoi de la réponse SAML
Accès autorisé !
Connaissance de l'URL SSOde l'Identity Provider
Capacité à vérifier la réponse SAML
2011 © Université du Système d’Information
Exemple: Le SSO sur Google Apps
63
Connaissance de l'URL SSOde l'Identity Provider
Capacité à vérifierla réponse SAML
2011 © Université du Système d’Information
Pour conclure
64
2011 © Université du Système d’Information65
La boite à outils de la GDI est bien remplie !
http://www.flickr.com/photos/usonian/393607706
2011 © Université du Système d’Information66
http://www.flickr.com/photos/mdpny/3684977779
Chaque projet GDI est unique !
2011 © Université du Système d’Information67
Focus sur l'utilisateur !
http://www.flickr.com/photos/22070130@N07/4286197306/
2011 © Université du Système d’Information68
Déploiement progressif !
2011 © Université du Système d’Information
Marché mature
Solutions éditeurs éprouvées
Nombreux retours projets
69
Nouvelles pratiques
Nouvelles applications (Cloud)
La GDI sort des murs de l'entreprise
2011 © Université du Système d’Information
Pour aller plus loin…
70