|
|
|
|
|
|
Passer d'un annuaire à une solution de gestion des identités et des accès |
Consolider ses comptes utilisateurs constitue l'une des dernières étapes de simplification de la gestion de parc. Quels bénéfices en attendre ? Quels écueils éviter ? Réponse avec trois spécialistes de l'IAM.
(13/07/2006) |
|
Basculer d'un annuaire vers une solution de gestion des accès et des identités (IAM) offre plusieurs avantages à l'entreprise : gains de temps en termes d'administration, meilleure sécurité grâce à un contrôle plus fin des droits d'accès et du cycle de vie des comptes, ergonomie renforcée auprès des utilisateurs par l'utilisation de systèmes d'identifiant unique (SSO).
"Un des premiers éléments qui permet d'obtenir un retour rapide sur investissement passe par la mise en place d'un workflow. Cette notion de workflow revient à formaliser le processus d'habilitation des personnes, qui est le prochain défi des grandes entreprises. La priorité est généralement soit à la gestion des habilitations, soit à la gestion des identités, c'est-à-dire la création, la modification et la suppression des identités dans le temps", explique Xavier Assouad, responsable du département gestion de l'identité de la société de services Solucom.
La gestion des habilitations - ou gestion des rôles - implique de la part de l'entreprise de parvenir à dresser la cartographie des droits utilisateurs et définir la limite de ces droits. Un projet parfois difficile car la hiérarchie "entretient volontairement le flou dans les rôles au sein de l'organisation. Or, dans ce cas présent, l'informatique doit donner des frontières claires à chacun", ajoute le responsable de Solucom.
Pourtant, cette gestion des rôles apporte un réel plus puisque de là découle toute la gestion automatisée des identités. Cette base va définir de quelle manière une application donnée interagit avec un profil défini. Cette carte des droits sera amenée à évoluer fortement dans le temps pour respecter les changements d'organisation de la société et s'adapter aux décalages entre les besoins du terrain et l'évaluation théorique de ces besoins.
Le module de workflow : élément essentiel de l'IAM |
"La partie gestion du workflow va permettre à l'annuaire d'interagir avec d'autres logiciels, comme par exemple une solution de help desk, de manière à prendre en compte les demandes de création de comptes, de gestion des mots de passe perdus. L'enjeu est aussi de se synchroniser avec les référentiels des autres applications métiers comme la base de données, l'ERP ou la base Active Directory", souligne André Deville, consultant avant-vente IBM sur les produits Tivoli de sécurité.
Cette synchronisation des identités implique de définir soit un référentiel maître, soit d'en bâtir un. L'idéal étant en effet d'avoir une solution centralisée car il est techniquement plus simple d'entretenir une seule base de données avec un point d'accès unique. C'est aussi un excellent moyen pour réduire les coûts car l'entreprise peut éliminer par la suite tout ou partie de ses autres référentiels pour ne conserver que l'annuaire centralisé.
"La synchronisation des référentiels implique de mettre en corrélation des champs amenés à échanger des informations, ce qui s'appelle du mapping. Il peut être intéressant d'évaluer ici une solution de type méta-annuaire de manière à pouvoir lire les données sur ces formats. Attention toutefois, un méta-annuaire n'aura d'intérêt que si le contenu de l'annuaire en question possède un intérêt en dehors du périmètre purement local", estime Stéphane Kunégel, ingénieur avant-vente en gestion d'identité chez Novell.
Une fois la synchronisation établie, la modification d'un compte dans le référentiel ERP impactera automatiquement toutes les autres applications reliées par la couche de gestion des identités. Cette couche de gestion des identités doit cependant être ajoutée sur les applications au fur et à mesure par le biais de connecteurs fournit par les éditeurs de solution IAM. Le nombre et la qualité de ses connecteurs font partie des critères principaux distinguant les logiciels du marché.
Des connecteurs à installer au fil de l'eau pour enrichir la solution |
"Typiquement, sur des projets à long terme comme la gestion d'identité et des accès, l'entreprise aura intérêt à installer les connecteurs en premier lieu sur les applications les plus utilisées comme la bureautique. Ce sont des projets qui vont vite et offrent une visibilité rapide sur les apports du projet. Il faut éviter l'effet tunnel et montrer le service rendu aux utilisateurs. Les applications qui concernent peu d'utilisateurs ou qui se révèlent peu critiques seront traitées en dernier", précise André Deville.
Outre la synchronisation des référentiels en interne, les solutions d'IAM traitent de plus en plus souvent la synchronisation des annuaires avec des bases externes à l'entreprise. Cette fonction, appelée fédération d'identité, donne à l'entreprise la possibilité d'établir un réseau de confiance avec ces partenaires, en ouvrant l'accès à son système d'information par un dialogue entre annuaires d'authentification.
Il n'est pas rare que les projets de gestion des identités se découpent en lots et s'étalent sur des périodes de plusieurs années. Pour cette raison notamment, les projets d'IAM nécessitent une forte implication des directions métiers et un soutien de la direction générale. Le département des ressources humaines, qui gère les embauches et les départs, sera également impliqué dans le processus de gestion des identités, de même que le département des achats si l'entreprise fait appel à des prestataires extérieurs.
Une autre fonction qui intéresse de plus en plus les directions informatiques s'appelle l'identifiant unique, ou SSO. Pour éviter que l'utilisateur ne retienne un lot de mots de passe différents susceptibles de changer régulièrement, les applications utilisent une interface de connexion unique de gestion des mots de passe. L'utilisateur n'a plus qu'à saisir un mot de passe unique pour accéder à l'ensemble de ces applications.
"Il existe deux types de SSO, le SSO lourd qui nécessite une installation sur le poste de travail mais gère toutes les applications de l'utilisateur, et le SSO Web - ou léger - où l'entreprise simplifie l'accès à ses applications intranet", juge Stéphane Kunégel. Parce que l'interconnexion d'une application avec l'annuaire d'entreprise retarde parfois la mise en place du SSO sur certains domaines, des solutions de cartes à puces indépendantes constituent parfois une alternative pertinente.
Enfin, dernière brique de la gestion des accès et des identités, l'audit et le reporting ciblent le besoin des entreprises soumises à des audits réguliers de sécurité. Les éditeurs proposent alors de tracer, indépendamment ou non de l'annuaire, les connexions des utilisateurs, leurs actions et les traces des modifications apportées à certains fichiers. Certains acteurs proposent même des rapports spécifiques pour une lecture par les contrôleurs de gestion dans le cadre de la législation Sarbanes Oxley.
|
|
|
|
|
|