Active Directory en libre-service
La semaine dernière, j'étais chez un client où une solution UMRA fonctionne avec des e-formulaires pour le service desk. Elle permet de créer de nouveaux comptes utilisateurs, de modifier des autorisations et d'exécuter des actions techniques de base telles que la réinitialisation de mot de passe, le déverrouillage de compte, la gestion de la file d'impression et la gestion des groupes.
L'objectif était toutefois de proposer davantage de services à l'organisation et de remplacer les applications développées en interne par une solution standard. Plusieurs services existent dans l'organisation pour faciliter le déploiement des autorisations. La structure des rôles contient par rôle un ensemble d'autorisations (RBAC), qui doivent être gérées. Dans l'état actuel, il s'agit d'une application développée en interne qui intègre beaucoup de logique, mais ne propose pas de services directs aux utilisateurs finaux et n'offre pas non plus de possibilités de workflow vers les managers.
Lors de l'atelier de réflexion sur les possibilités supplémentaires pour l'organisation, nous avons identifié plusieurs options :
Tableau de bord. E-formulaires ou interface web pour l'utilisateur final afin qu'il puisse consulter l'état des autorisations et des services, tels que les applications, l'environnement de messagerie, les dossiers de projet, etc. Pour chaque élément, l'utilisateur final peut également soumettre une demande et l'adresser à son manager.
Réinitialisation de profil en libre-service. L'utilisateur peut réinitialiser lui-même son profil local et itinérant, l'ancien profil étant conservé en sauvegarde, un nouveau profil avec les droits appropriés étant créé, et des éléments tels que le bureau, les favoris et l'autocorrection Word étant copiés de l'ancien vers le nouveau profil.
Réinitialisation de mot de passe en libre-service. Au moyen d'un mécanisme de challenge-réponse, l'utilisateur final peut réinitialiser lui-même son mot de passe.
Demande de dossier de projet. Un espace de stockage temporaire est souvent nécessaire pour un groupe de collaborateurs et cela doit passer par le service desk et l'administration système. Il s'avère efficace de proposer ces demandes directement à l'organisation, avec automatisation immédiate des opérations techniques. Vous pouvez créer immédiatement des groupes locaux et globaux Lecture et Modification, les imbriquer, puis proposer via UMRA une interface permettant au chef de projet de gérer les membres des groupes globaux. Il est également possible de le connecter à SAP afin de placer les dossiers de projet dans la hiérarchie de l'organisation.
Droit d'installation local. Il arrive qu'un utilisateur final ait besoin de droits administrateur sur son PC pour installer un logiciel. En tant qu'administrateur, vous souhaitez limiter cela au maximum et retirer ensuite ce droit. Il est possible de permettre aux utilisateurs finaux d'en faire la demande eux-mêmes pour une durée maximale de 24 heures, après quoi le droit est automatiquement retiré.
Abonnements logiciels temporaires. Avec des contrats-cadres Microsoft, vous pouvez par exemple licencier la suite Office pour tous les collaborateurs en une seule fois. Certaines licences, comme Project, restent attribuées par utilisateur et nécessitent donc une attention particulière. Il est possible de permettre aux utilisateurs finaux de demander ce logiciel pour une durée maximale de 3 mois. Après validation par le manager, l'utilisateur est ajouté au groupe applicatif de Project, puis l'installation du logiciel est effectuée, par exemple via SMS ou SCCM. Quatorze jours avant l'expiration des 3 mois, l'utilisateur reçoit une notification par e-mail indiquant que l'abonnement va expirer. L'utilisateur final peut alors prolonger lui-même l'abonnement via son interface UMRA. Si aucune action n'est entreprise, l'utilisateur sera retiré du groupe applicatif, le logiciel sera désinstallé et une licence sera libérée.
Reprise ou transfert d'un collaborateur entre services. Les organisations évoluent et il en résulte des changements de service pour certains collaborateurs. Il peut être utile pour les managers de transférer ou reprendre ce collaborateur en mode pull ou push via un workflow qui exige l'approbation des deux parties, celle qui transfère et celle qui reçoit. En arrière-plan, l'application d'un nouveau rôle d'autorisation avec les groupes associés peut être effectuée automatiquement.
Délégation des tâches ci-dessus. Il n'est pas rare qu'un manager n'ait pas la disponibilité nécessaire pour approuver toutes les demandes dans les délais. Il doit donc pouvoir désigner jusqu'à 3 délégués pour le faire.
Audit des droits des boîtes aux lettres de ressource. Les boîtes aux lettres de ressource constituent souvent un point sensible en matière d'administration. Une telle boîte est configurée pour une ressource, par exemple une salle de réunion, et doit être dotée de droits AD et Exchange spécifiques afin qu'un propriétaire puisse la gérer et que les utilisateurs puissent envoyer des e-mails via la boîte. Une solution élégante consiste à lire périodiquement tous les droits AD et Exchange de ces boîtes de ressource et à envoyer un rapport vers la boîte elle-même. Ainsi, chacun sait immédiatement qui peut consulter.
Active Directory en libre-service
Écrit par :
Arnout van der Vorst
Arnout van der Vorst est architecte en gestion d'identité chez Tools4ever et travaille dans l'entreprise depuis plus de 20ans. En tant qu'architecte, Arnout se concentre sur la conception et le développement de nouvelles fonctionnalités, solutions et services de la société. Arnout a étudié les sciences informatiques supérieures à la Hogeschool d'Utrecht.