Une connexion directe pour gérer vos comptes ?

De nombreux fournisseurs et intégrateurs de systèmes proposent des connexions directes entre les plateformes RH et certains systèmes métier spécifiques. Dans de nombreux processus d’entreprise, les données du personnel jouent un rôle central, par exemple pour planifier les horaires des collaborateurs. Inversement, les informations issues de ces systèmes métier sont souvent utilisées dans le système RH pour gérer des tâches telles que l’administration des heures de travail. Une connexion directe permet donc d’automatiser facilement ces interactions.

Cependant, pour que cela fonctionne, les employés doivent disposer d’un compte et des droits d’accès appropriés à ces systèmes. Cela soulève une question importante : peut-on également automatiser la gestion de ces comptes et droits d’accès via une connexion directe ? Et dans ce cas, un système de GIA dédié est-il encore nécessaire ? Une connexion directe peut-elle suffire à répondre à vos besoins ?

Exemple concret : une connexion entre un système RH et une application de soins

Prenons un exemple pratique. De nombreuses institutions de santé utilisent des applications avancées dédiées aux soins, comme Easily, Hôpital Manager, Cariatides, etc., conçues pour faciliter et optimiser le travail des professionnels de santé. Ce type de logiciel permet de gérer les dossiers des patients, de planifier les activités, de créer des rapports et de suivre les heures travaillées.

Pour fonctionner, ces applications nécessitent des données provenant du système RH, telles que la fonction des collaborateurs/soignants, leurs heures contractuelles ou encore leurs compétences. De l’autre côté, le système RH peut exploiter les données de l’application, comme les heures réellement travaillées, pour assurer la gestion des congés et des heures supplémentaires. Une connexion directe entre le système RH et l’application de soins permet d’automatiser ces échanges, réduisant ainsi les tâches administratives et permettant au personnel de se concentrer sur l’essentiel : leur travail.

Pour que cela fonctionne, chaque employé doit disposer d’un compte dans l’application de soins (DPI), avec les droits d’accès appropriés. Là encore, l’automatisation est possible grâce à une connexion directe. Cependant, cela nécessite d’ajouter un modèle de rôles (ou matrice d’autorisations) en tant qu’extension.

Cette extension utilise les données du système RH (comme le rôle, le service (UF) ou le lieu de travail de l’employé) pour définir les comptes et les droits d’accès nécessaires, qui seront créés directement dans le système cible.

En effet, une connexion directe peut également automatiser la gestion des comptes et des droits d’accès pour ces systèmes métiers, offrant ainsi un gain de temps considérable. Mais il est essentiel de noter que ce modèle est conçu spécifiquement pour cette connexion particulière et reste une solution isolée.

Plusieurs systèmes ? Un modèle de rôles intégré

Une solution basée uniquement sur des connexions directes ne semble pas vraiment pérenne. Les utilisateurs ayant besoin d’accéder à un seul système sont rares. Dans la plupart des organisations, les employés sont également connectés à un Active Directory (ou un autre fournisseur d’identité) pour activer le Single Sign-On. Ils reçoivent également une licence Microsoft 365, un accès à des données partagées spécifiques, une adresse e-mail professionnelle et un compte sur le portail RH.

En plus, de nombreux collaborateurs obtiennent un accès à des systèmes de gestion de services comme Glpi, EasyVista, etc. pour gérer la distribution d’ordinateurs portables, de téléphones, de badges d’accès et autres équipements. En résumé, vous vous retrouvez rapidement à gérer plusieurs systèmes cibles. Si vous souhaitez automatiser la création de comptes et l’attribution des droits d’accès pour tous ces systèmes, vous aurez besoin de plusieurs connexions de provisioning, ainsi que d’un modèle de rôles adapté à ces systèmes.

Gestion des workflows

En examinant de plus près ces connexions, vous constaterez que ces différents systèmes sont souvent interdépendants. Prenons l’exemple de la création d’un compte utilisateur avec une adresse e-mail commune à plusieurs systèmes et offrant un Single Sign-On. Dans ce cas, vous devez d’abord enregistrer l’utilisateur sur votre fournisseur d’identité (comme Entra ID, anciennement Azure AD) avant de pouvoir créer les comptes dans d’autres systèmes cibles.

Ce n’est qu’un exemple parmi d’autres workflows que vous devrez intégrer. Par exemple, certaines organisations créent un compte Office quelques jours avant l’arrivée d’un nouvel employé, mais n’attribuent les droits complets qu’à la date de début du contrat. Une autre étape pourrait consister à demander à l’employé de confirmer les conditions d’utilisation (charte) en ligne avant de recevoir un accès complet.

Plusieurs systèmes sources

Un seul système source ne suffit pas toujours. Pour des comptes partenaires ou clients dans un environnement B2B, il est souvent plus logique d’utiliser un CRM comme source, plutôt que le système RH.

Dans l’enseignement, plusieurs systèmes sources sont presque toujours nécessaires : le personnel est enregistré dans le système RH, tandis que les comptes étudiants sont issus du système de gestion des étudiants. Et pour revenir à l’exemple des soins, les travailleurs intérimaires sont souvent gérés dans un système source distinct. Vous ne souhaitez pas créer deux connexions de provisioning distinctes et similaires pour ces deux systèmes sources vers votre application de soins.

Pour résumer, si vous voulez connecter plusieurs systèmes sources et cibles via des solutions sur mesure, intégrer un modèle de rôles global et prendre en charge des workflows complexes, vous commencez en réalité à développer une plateforme de GIA personnalisée. À ce stade, il est essentiel de vous demander si cette approche est réellement la bonne solution à long terme.

Robustesse, traçabilité et conformité

Nous avons décrit les étapes nécessaires pour automatiser la gestion des comptes et des autorisations, ainsi que pour évoluer d’une simple connexion directe vers une gestion impliquant plusieurs systèmes. Jusqu’ici, l’accent était mis sur la fonctionnalité primaire : comment automatiser l’attribution et la gestion des autorisations.

Cependant, il manque encore un point crucial : la gestion des autorisations joue un rôle central dans vos services IT, ce qui implique des exigences supplémentaires. Les connexions doivent être hautement sécurisées pour empêcher toute manipulation des autorisations depuis un point central. Vous devez également intégrer des contrôles supplémentaires lors de modifications massives pour éviter que des erreurs humaines n’impactent l’ensemble de l’organisation.

Toutes les actions doivent être traçables, et la plateforme doit prendre en charge des pistes d’audit. À tout moment, vous devez être en mesure de prouver votre conformité aux lois et réglementations en vigueur, ainsi qu’aux politiques internes de votre organisation.

Vous souhaitez également vérifier régulièrement les autorisations pour identifier d’éventuels écarts, ajuster facilement votre modèle de rôles en cas de modifications organisationnelles, et optimiser continuellement ce modèle. Avec une solution de GIA moderne comme HelloID, nous avons investi dans un module de gouvernance dédiée pour supporter ces processus d’optimisation et de conformité de manière efficace.

Conclusion

Une connexion directe entre un système source et un système cible est une excellente solution pour échanger des données opérationnelles spécifiques à certains processus organisationnels. Prenons l’exemple de CPAGE et de Easily, où les informations sur le personnel, les plannings, les congés et les heures travaillées sont échangées pour simplifier les processus de soins. Il semble donc logique d’utiliser cette même connexion pour gérer les comptes sur ce système de soins, vous épargnant ainsi les modifications manuelles quotidiennes.

Cependant, il est rarement judicieux, sur le long terme, de s’appuyer uniquement sur ces connexions directes pour la gestion des identités et des droits. La gestion des identités et des droits est un processus critique pour l’entreprise, qui couvre une portée beaucoup plus large et nécessite la collaboration de nombreux systèmes. De plus, vous devez pouvoir prouver en permanence que vous maîtrisez parfaitement ce processus. Cela est difficilement réalisable avec une collection de connexions individuelles. C’est précisément pour cette raison que les organisations investissent dans des systèmes de GIA.

Dès que vous gérez plusieurs dizaines d’employés et quelques applications cibles, le gain de temps apporté par une solution de GIA dépasse largement celui des connexions individuelles. Nous serons ravis de construire cette analyse de rentabilité avec vous !

En tant qu’architecte en gestion des identités chez Tools4ever, j’aide les organisations à mettre en place des solutions efficaces et sécurisées pour la gestion des comptes. Dans notre dernier blog, j’explique pourquoi une connexion directe pour la gestion des comptes n’est souvent pas la meilleure option.

Bien que cela puisse sembler simple, une telle approche peut en réalité engendrer plus de complexité et de risques. À la place, nous proposons des solutions alternatives qui s’intègrent mieux aux processus de gestion des droits, sécurisés et évolutifs.