Regroupant plus de 45 000 agents dont 20 000 qui se connectent occasionnellement ou régulièrement au système d'information, la mairie de Paris cherche depuis 2002 à s'ouvrir le plus possible vers l'extérieur.
"Nous menons depuis 2002 un changement radical à la DSTI. Avant, chaque direction métier disposait d'une autonomie importante pour mener ses projets. Nous avons depuis centralisé la maîtrise d'uvre informatique au sein de la direction informatique. Un schéma directeur a été défini en parallèle, suite à un audit, qui prévoyait le développement de téléprocédures et d'applications ouvertes", résume Eric Anvar, responsable du bureau des réseaux à la mairie de Paris.
L'objectif de cette ouverture est clair : multiplier les services fournis aux différentes entités de la ville (associations, clubs sportifs, personnel interne
) en passant par un extranet. Avec des idées, mais sans schéma précis imposé, la mairie de Paris se lance dans une consultation des offres du marché avec comme attente une démarche d'accompagnement précisant les modalités et les risques d'un tel projet.
Lancé au second semestre 2003, ce projet se traduit par un impératif : la fédération d'identité ou SSO (Single Sign On). Deux approches possibles sont identifiées par la mairie de Paris, une solution fournie par Novell et une autre proposée par IdealX, en Open Source. "A l'époque, la mairie de Paris n'avait pas encore une volonté affirmée d'adopter des logiciels Open Source", précise Eric Anvar.
Le critère de choix de l'offre s'établit donc sur le prix, et sur la flexibilité proposée. Comme la ville de Paris ne mesure pas encore précisément l'ampleur des services qu'elle compte mettre à disposition, l'Open Source a l'avantage de ne pas multiplier les frais de licence si le nombre d'utilisateurs venait à croître. Enfin, la solution d'IdealX est perçue comme plus souple, or la DSTI de la mairie de Paris souhaite construire une solution de Web SSO la plus simple possible à intégrer dans les applications métiers.
| La reprise des données éparses a nécessité la mise au point d'un module spécifique |
Le gros du travail commence par la mise en place d'une gestion des identités commune et fédérée, alors qu'elle était précédemment très éclatée. "Nous n'avions pas non plus d'annuaires, alors nous sommes parti sur le choix d'OpenLDAP. Il a fallu passer à l'auto provisionning, là où nous procédions manuellement avant. Comme les utilisateurs ne changeaient pas très souvent dans le temps, le processus de création et suppression de compte restait manuel", ajoute le responsable réseau.
Pour ouvrir son intranet, la direction informatique a choisi de s'appuyer sur une architecture classique avec un reverse proxy couplé à un serveur d'authentification et d'autorisation, lui-même relié à l'annuaire OpenLDAP. Lorsqu'un utilisateur se connecte à la solution, il accède au reverse proxy qui, passé la phase d'authentification, se connecte sur les serveurs frontaux des applications Web.
Un module applicatif baptisé MRGU, mis au point par les équipes d'IdealX, a permis de récupérer en masse les données des annuaires des différents partenaires de la ville. Pour les utilisateurs internes, leurs comptes ont été créés à partir des comptes de messagerie électronique, chacun ou presque disposant déjà d'un e-mail. La gestion des identifiants uniques a été découpée par application et confiée aux responsables métiers concernés.
"Nous sommes restés jusqu'à présent sur une simple phase d'authentification par nom d'utilisateur / mot de passe, sauf pour certaines applications qui le justifiaient où ont été placés des systèmes de clés uniques et de certificats. Pour 2007, nous réfléchissons à une authentification forte de plus haut niveau", souhaite Eric Anvar.
Le développement et la mise en production ont eu lieu entre mi-2003 et le début de l'année 2005. Aujourd'hui plusieurs applications en bénéficient : l'avis d'appel public à concurrence, le portail des affaires sociales, la coordination des actions de voiries, la réservation de terrains sportifs, la gestion des commandes scolaires et des crèches
Au total, la mairie estime à plus de 6 000 le nombre des utilisateurs externes, et espère monter ce chiffre à 10 000 prochainement.
Très satisfait du résultat final, la mairie de Paris travaille avec IdealX pour pouvoir passer le reverse proxy sous SuSE, et remplacer ainsi l'ancienne version de Red Hat utilisée actuellement. Autre point d'évolution, la DSTI souhaite faire transiter le dialogue entre l'utilisateur et le serveur d'authentification par le protocole Radius.
"Nous avions un peu sous-estimé la maintenance évolutive, les fonctions nouvelles pour lesquelles il a fallu faire des développements. Mais le bilan économique global, après 3 ans de recul, est toujours à l'avantage de la solution Open Source dans un rapport d'un pour deux", estime Eric Anvar.
|
Le
projet en bref
|
|
Organisme
|
Mairie de Paris
|
|
Type
de projet
|
Fédération d'identité
|
|
Solution
retenu
|
Technologies Open Source d'IdealX
|
|
Date
de lancement du projet
|
Second semestre 2003
|
|
En
production depuis
|
Début 2005
|
|
Dossier 
