Les faux-pas à éviter sur la route de l’Identity Management | Identity-Management.fr
In this article
Un conseil : Prenez votre temps et procédez par étapes.
Gérer les identités ou les comptes utilisateurs dans le réseau devient un challenge grandissant pour les entreprises.
Les administrateurs système doivent non seulement gérer des infrastructures de plus en plus complexes avec beaucoup de changements à effectuer au niveau des comptes utilisateurs (collaborateurs quittant l’entreprise, changement d’état civil ou changement de service, etc..). Ils sont également les garants du respect des règles de conformité en matière de sécurité informatique, celles-ci étant de plus en plus strictes et qu’elles nécessitent que toutes les actions liées à la gestion des comptes utilisateurs soient consignées et tracées.
En automatisant certaines tâches de gestion comme la « Création des comptes utilisateurs », la « Suppression des comptes utilisateurs » ou la « Réinitialisation des Mots de Passe », une traçabilité de toutes ces actions peut être garantie. C’est l’un des avantages « majeur » des solutions de gestion des identités et des accès. Mais les facteurs liés aux gains de temps et aux coûts jouent également un rôle prépondérant. De plus en plus, les services en charge de l’administration du parc informatique réalisent à quel point il peut être pertinent d’automatiser les changements au niveau des comptes utilisateurs, or bien souvent, ils se lancent trop rapidement dans l’implémentation d’une « pseudo solution de gestion des identités et des accès ». Ainsi, lorsque cette décision est prise avec trop de précipitation, ils ne sont pas en mesure d’éviter les pièges classiques en la matière.
« Vider le bassin sans fermer le robinet… »
L’un des écueils consiste à choisir une solution « d’exporting/reporting » pure pour répondre aux besoins des audits. L’auditeur demandera alors une « vue centrale » des autorisations et des accès devant être attribués selon certaines règles, puis une autre correspondant aux privilèges réellement attribués aux utilisateurs finaux dans le réseau. Pour satisfaire cette demande plus facilement, il est possible de faire un export périodique de toutes les autorisations par collaborateur dans le réseau et de le comparer avec la configuration voulue.
Une liste énumérant les différences non acceptables (collaborateur ayant trop d’habilitations, collaborateur ayant quitté l’entreprise, collaborateur ayant une combinaison d’habilitations non cohérente) doit ensuite être corrigée manuellement dans le réseau. L’inconvénient majeur de cette méthode « rapide » est qu’à chaque fois la même pollution réapparait systématiquement et doit être corrigée encore et encore. Ainsi, cette solution pourrait renvoyer à l’image d’un bassin qui a été vidé sans avoir pris soin de fermer le robinet au préalable. Une solution structurelle serait de faire en sorte de prévenir l’apparition de différences non-acceptables en mettant en œuvre des process d’autoprovisioning, de gestion des accès par les rôles et des systèmes de gestion de workflow en amont.
Gestion des Accès basée sur les rôles (RBAC)
L’implémentation du protocole RBAC (Role Based Acces Control) mène souvent rapidement au piège suivant classique : Le but de beaucoup d’organisations est de réaliser un autoprovisioning supportant 100% les rôles. C’est-à-dire que les comptes utilisateurs sont créés sur la base de rôles et postes occupés par un collaborateur dans l’organisation tout au long de sa carrière.
Ce n’est donc pas pour rien que le RBAC est souvent appelé (par déformation) le PBAC (Person Based Acces Control ou Contrôle des accès basé sur les personnes). Car dans les faits, l’autoprovisioning basé sur des rôles ne peut pas couvrir toutes les instances.
Souvent, il y a autant de rôles et de postes dans l’organisation qu’il y a de collaborateurs, ce qui génère forcément un nombre quasiment infini de rôles vis-à-vis des ressources informatiques. Ainsi, créer, renseigner et mettre à jour la matrice des rôles et des habilitations devient dès lors souvent un processus fastidieux, long et inefficace. Par la suite, si l’organisation change, fusionne ou se réorganise, tout le travail de provisioning des comptes doit être recommencé à partir de zéro.
Le Collaborateur occupe une place centrale
Un des autres pièges classiques à éviter est de ne surtout pas donner une place centrale aux collaborateurs ou aux managers dans le processus de gestion des identités (ou IDM). Le manager sachant exactement de quoi ses utilisateurs/collaborateurs ont besoin pour faire leur travail et le collaborateur étant lui-même capable de dire ce dont il a besoin pour faire son travail, pourquoi alors ne pas leur permettre d’effectuer eux-mêmes des demandes via un système en Self-service couplé à un système de workflow ?
En conclusion : beaucoup d’organisations souhaitent implémenter un environnement d’Identity Management complet d’une seule traite. Bien que cela soit possible en théorie, dans la pratique, un tel projet d’envergure requiert souvent pas mal de temps et se conçoit sur la durée et les premiers résultats tangibles ne sont en général visibles qu’après plusieurs mois de travail.
Souvent dans ces cas de figure et dans une soucis de flexibilité, il est préférable de procéder étape par étape. Les investissements nécessaires au départ sont proportionnels au type d’implémentation choisie et l’opération en elle-même est réalisable en quelques semaines, sachant que des résultats tangibles peuvent être réalisés à moindre coût. De plus, une telle approche est souvent la garantie d’une bonne acceptation dans l’organisation.
Veillez donc d’éviter les écueils classiques en la matière en ne vous lançant pas trop précipitamment dans un projet de Gestion des Identités. Etudiez les possibilités qui s’offrent à vous et ayez conscience du fait que tout cela ne se fait pas d’un claquement de doigt. Alors, prenez soin de ne pas oublier de procéder par étapes et de faire des pauses si vous voulez éviter tout accident de parcours sur la route de l’Identity Management.
Cliquez ici pour obtenir de plus amples informations sur les avantages proposés par la gestion des identités et des accès.
D'autres ont également consulté
Implémenter le Single Sign On / Authentification Unique avec SAP
20 juin 2013
Comment les utilisateurs peuvent-ils se connecter à une application via l’Active Directory et sans connecteur LDAP ?
13 juin 2013