Tests, mise en production et déploiement
Avant de vous lancer dans la mise en œuvre d’HelloID, il est naturellement essentiel de tester en profondeur la configuration pour s’assurer qu’elle produit les résultats escomptés. Dans cet article, vous trouverez tout ce qu’il faut savoir sur les tests, la mise en ligne et la mise en production de votre environnement HelloID. Nous vous fournirons également quelques points d’attention et conseils.
Nous avons récemment publié un article sur le test des règles métier sur une seule personne, une méthode pratique pour tester unitairement et en toute sécurité de nouvelles règles métier sans impacter les utilisateurs. Cependant, dans certains cas, vous voudrez peut-être effectuer un test plus large, comme avant la mise en ligne et la mise en production de votre solution HelloID. Cet article explique comment réaliser un tel test plus étendu.
In this article
Moteur de provisioning « avec état » (stateful)
HelloID est un moteur de provisioning stateful. En pratique, cela signifie qu’HelloID se souvient de ce qu’il a fait. C’est important, car cela vous permet de retracer en détail les modifications effectuées par HelloID et pourquoi. Par exemple, HelloID prend un « snapshot » de votre système source, le compare au « snapshot » précédent et identifie toutes les différences (le delta). Ce que fait HelloID avec ces modifications est déterminé par les règles métier, qui définissent précisément les actions que la solution de Gestion des Identités et Accès (GIA) effectue. HelloID récupère toujours une capture en mode « pull » plutôt que « push », ce qui assure qu’HelloID dispose de toutes les données nécessaires pour effectuer son travail.
Travailler avec un système stateful offre de grands avantages. Par exemple, vous pouvez prédire l’effet de vos règles métier grâce à des évaluations. Ceci n’est possible que si vous connaissez également l’état précédent et disposez donc d’un « snapshot » antérieur pour comparer avec le nouveau. Ainsi, vous savez exactement ce qu’HelloID va faire à l’avance et vous ne serez pas surpris. Si une erreur survient, grâce au moteur stateful, vous pouvez facilement identifier la source du problème. Vous pouvez voir précisément ce qu’HelloID a fait et ce qui a mal tourné. Sur la base de ces informations, vous pouvez ajuster la configuration et résoudre le problème.
Impact sur les tests et la mise en ligne
L’utilisation d’un moteur de provisioning stateful modifie l’approche des tests et de la mise en service de votre solution HelloID. Avant de la déployer, il est nécessaire de synchroniser tous les comptes, ce qui signifie attribuer correctement les droits à chaque utilisateur dans votre système RH. Une fois activée, HelloID opère entièrement sur une logique de mutations : la solution Gestion des Identités et des Accès (GIA) ne procède à des modifications que sur la base des derniers « snapshot ».
La corrélation des données est cruciale dans l’attribution des comptes. En l’absence de corrélation par HelloID, un nouveau compte est créé dans les systèmes cibles lors de l’assignation d’un compte Active Directory (AD). En revanche, si la corrélation est possible, HelloID met à jour le compte existant. Il est donc primordial de configurer avec précision les connecteurs entrants et sortants entre vos systèmes source et cible. Ces configurations définissent précisément les informations que HelloID peut ou ne doit pas mettre à jour.
Actualisation de votre base d’utilisateurs existante
Lors de la corrélation des données, vous choisissez entre maintenir intacts les comptes existants dans vos systèmes cibles, en créant uniquement de nouveaux comptes selon les standards d’HelloID, ou opter pour une mise à jour rétroactive de votre base d’utilisateurs actuelle. Cette dernière option est souvent utile, étant donné que de nombreux comptes ont été établis manuellement par le passé. Or, au fil du temps, ces comptes peuvent devenir obsolètes, notamment si les mises à jour dans votre système source n’ont pas été correctement répercutées. HelloID est alors capable de rafraîchir et d’actualiser ces données en se basant sur les informations les plus récentes de votre système source.
Le processus de « mise à jour en état » de vos comptes vous permet également de nettoyer votre base d’utilisateurs existante. Vous déterminez ainsi les champs que HelloID est autorisé à modifier ou non.
Quels champs HelloID peut-il mettre à jour ?
La procédure est la même pour tous les systèmes cibles. Prenons l’exemple d’Active Directory (AD), couramment utilisé. Les seuils se trouvent dans le tableau de bord provisioning d’HelloID sous « Target Systems ». Ouvrez la connexion vers votre environnement AD et allez sur l’onglet « Account ». Cliquez ensuite sur le bouton « Configure » sous « Fields ». En mappant les données, vous déterminez précisément quels champs vous souhaitez mettre à jour lors d’un événement de mise à jour.
Les paramètres que vous utilisez dépendent de vos préférences personnelles. Par exemple, vous pouvez choisir de laisser HelloID mettre à jour uniquement les champs non essentiels, ce que nous recommandons lors du chargement initial de votre base d’utilisateurs. Pour ce faire, désactivez l’option « Update this field » pour tous les champs essentiels, tels que le user principal name, le common name, sAMAccountName et les adresses proxy. Voulez-vous qu’HelloID nettoie également votre environnement AD ? Laissez alors tous les champs activés, pour qu’HelloID prenne en compte tous les champs lors de l’attribution. Vous préférez créer une base de référence à partir de laquelle HelloID pourra effectuer des modifications ? Choisissez alors de désactiver tous les champs, pour qu’HelloID reprenne les données sans modification.
Une fois qu’HelloID a chargé tous les comptes pour la première fois, vous pouvez réactiver tous les champs, permettant ainsi à HelloID de mettre à jour ces champs par la suite. Et si une capture de votre système source indique par exemple que le nom de famille d’un utilisateur a changé ? HelloID l’ajustera automatiquement à l’avenir.
Les seuils offrent une sécurité supplémentaire
Il est crucial de porter une attention particulière à vos seuils. Ces derniers, en tant que valeurs limites, renforcent la sécurité lors des modifications de données par HelloID et constituent en quelque sorte le bouclier de votre système. Vous fixez ainsi les limites au-delà desquelles HelloID ne doit pas effectuer de modifications automatiquement. Si une modification dépasse ces seuils, la solution GIA la bloque et vous la présente pour validation. Vous avez alors la possibilité d’approuver ou de refuser manuellement chaque changement. Cette démarche vous assure un contrôle absolu et une sécurité renforcée, surtout lors du déploiement initial de votre solution HelloID.
La configuration des seuils s’effectue dans les paramètres du connecteur vers vos systèmes sources, accessibles via « Target Systems » dans le tableau de bord provisioning, sous l’onglet « Thresholds ». Pour les tests, nous vous recommandons de régler le « Count » à 1 pour la fonction « Revoke » et de maintenir le pourcentage à 5. Ce réglage garantit qu’HelloID ne révoque aucun compte ou droit sans votre consentement explicite.
Vous pourriez aussi envisager de fixer un « Count » à 1 pour les mises à jour. En pratique, cela signifie qu’HelloID ne doit procéder à aucune mise à jour sans vous consulter au préalable. Cette approche est particulièrement avantageuse lors de la mise en ligne initiale de votre solution HelloID, vous permettant de garder la main sur chaque mise à jour. Si vous utilisez HelloID depuis quelque temps et que vous constatez que les paramètres sont correctement configurés, vous pouvez alors abaisser ce seuil à 0, permettant ainsi à HelloID d’exécuter ces mises à jour sans intervention de votre part.
Évaluations
Êtes-vous prêt à tester votre solution HelloID et les règles métier configurées ? Vous pouvez alors réaliser une évaluation, qui vous permet d’examiner facilement toutes les règles métier établies. Il s’agit d’une sorte de test (analyse d’impact ou tir à blanc), où HelloID, en se basant sur les règles métier, identifie les actions qu’il effectuerait lors d’une mise en application. Il est important de noter que la solution de GIA n’exécute pas réellement ces actions. Une exécution en « lecture seule » vous permet donc de tester en toute sécurité si toutes les règles métier configurées produisent les actions désirées.
Le résultat de cette évaluation se trouve dans le tableau de bord provisioning sous « Business Rules » et « Evaluations ». Lors de l’évaluation de ces résultats, il y a plusieurs points à considérer. Par exemple, HelloID affiche une action « create » pour tous les comptes, même si un compte existe déjà dans HelloID. Cela est dû au fait que la corrélation des comptes ne se produit que lorsqu’HelloID crée un compte, une étape qui n’a pas lieu lors d’une évaluation. De plus, gardez à l’esprit qu’une évaluation comprend au maximum cinq cents entrées. Si le nombre d’actions qu’HelloID doit exécuter en fonction de vos règles métier dépasse les cinq cents, alors HelloID n’affichera pas toutes les évaluations et l’aperçu sera incomplet. Cela est particulièrement important lors de l’évaluation de votre population complète. Après la mise en état, le nombre de modifications ne dépasse généralement pas cinq cents, et les évaluations fournissent donc une image complète.
Lancez-vous
Vous souhaitez vous lancer dans les tests, la mise en ligne et la mise en production de votre environnement HelloID ? Consultez également cette vidéo pour en savoir plus. Vous avez des questions ? N’hésitez pas à nous contacter !