Download
1 / 9
90 likes | 268 Views
Gestion des identités. Edouard SLOTTJE Responsable pole Gestion des Identités, Gestion des Habilitations. Concept clé = identité. C’est quoi une identité ? Matricule ? Nom ? Prénom ? En prestataire embauché, Une dame qui se marie ? -> changement d’identité ou pas ?
E N D
Gestion des identités Edouard SLOTTJE Responsable pole Gestion des Identités, Gestion des Habilitations
Concept clé = identité • C’est quoi une identité ? • Matricule ? Nom ? Prénom ? • En prestataire embauché, Une dame qui se marie ? • -> changement d’identité ou pas ? • Chez Bouygues Telecom -> clé =matricule/pseudologin , 109 champs distincts + règles RH sur maintien identités • Ex : matricule, nom, prénom, nom de jeune fille, date entrée groupe, localisation, site, nom du manager, service, direction, centre de cout, nom de l’assistante, secouriste du travail (oui/non), société, certificat X509 ……….
Concept clé «gestion » • Il convient d’identifier le cycle de vie et les transitions associées, pour les collaborateurs et les autres prestataires: • Création • Identification des systèmes autoritaires pour créer les identités • Typiquement SAP + appli des achats pour les prestataires • Modifications • Différents statuts : de base, les statuts seraient : actif/suspendu • Mais en fait :préembauche, non payé, longue maladie, congé parental, congé sabbatique,…… • Quelles sont les conséquences associées à chaque statut (accès aux locaux, accès a distance, conservation messagerie,…..) ? • Suppressions • Là encore, il existe beaucoup de possibilité : suppression, suspension, suppression mais on ne remet pas en jeu le login (et/ou le numéro de téléphone par exemple) de la personne avant un temps de latence, …..
Pourquoi mettre en place un système de gestion des identités ? • Pourquoi mettre en place un système « centralisé » de gestion des identités ? • De plus en plus d’applications ont besoin d’information liées aux individus (pour des raisons techniques, d’ergonomie ou de sécurité) • Ces informations sont réparties dans différents systèmes techniques • L’absence de système centralisé imposerait la mise en place de multiples flux croisés et la duplication sauvage de données, • Il s’agit d’un pré requis à la mise en place d’une gestion des habilitations pertinente. • Nous n’avions pas d’annuaire regroupant collaborateurs et prestataires • il n’était pas possible pour des raisons légales de gérer les prestataires dans le système SAP utilisé pour les collaborateurs • -> nous avons mis en place un système technique dédié
Gestion des identités chez Bouygues Telecom • Mis en place en 2003 d’un méta annuaire sous MIIS • Raccordé à la Gestion des Habilitations en 2006 • Migré sous IMr12 (CA Technologies) en 2011 • 30000 identités gérées • 12 systèmes « contributeurs » • - création d’entrées (ex: SAP/RH + ILLICO) • - Enrichissement d’attributs (AD Bureautique pour le login, appli intranet pour l’assistante,…..) • Plus 70 systèmes « clients » • Extractions réglementaires RH (nb et répartition des prestataires) • Provisionning automatique de comptes pour certaines populations (création de comptes pour les conseillers de clientèle dans les outils de planification) • Extractions pour des opérations de comm interne (augmente sensiblement la finesse des ciblages) • Annuaire d’entreprise (récupère en un seul flux les données pertinentes pour l’annuaire, localisation, nom, prénom, téléphone,…) • Applis intranet pour le pré-remplissage de champs (typiquement la page d’accueil transforme le login de session en chaine prénom, nom, plus convivial • ……
Collecte/ Mise à disposition des informations • Collecte : 100% asynchrone, planifié dans la nuit • -si le nouveau fichier n’est pas disponible, on réintegre les données de la veille • - On n’a pas vu d’utilité à faire une collecte à une fréquence supérieure • Mise à disposition des données : • En mode asynchrone: • Fichiers plats (csv) déposés sur un partage -> 40 • Alimentation de tables clientes (SQL) -> 10 • En mode synchrone : • Vues SQL -> 5 • Vues LDAP (Activedirectory) -> on ne sait pas…. • Webservices -> on ne sait pas …. (plus que 30)
Apports de la gestion centralisée des identités • Nous avons une offre de service très appréciée des différentes MOE/MOAs: • Catalogue complet de moyens d’accès aux informations • La mise en place d’un nouveau flux sortant est extrêmement rapide et peu couteuse (<0,5jh) • L’architecture implémentée est extrêmement robuste et facile à exploiter: moins de 10 incidents par an
Points d’attention • Qualité des données : il est très difficile de corriger une erreur (de nom par exemple) • Il faut identifier à la mise en place le process de correction, • Chez Bouygues Telecom : c’est la Direction Sécurité qui est responsable de la qualité des données et qui pilote/coordonne les corrections. • Identification des consommateurs : sinon il est très difficile de faire évoluer le système • -> compte/mot de passe spécifique, • -> éviter de mutualiser des flux (si 2 clients utilisent les mêmes données on duplique les exports) • Attention aux contraintes RH : données à ne pas transmettre avant une certaine date (en cas de réorganisation par exemple), traitements spécifiques pour les VIPs, négociations spécifiques en cas de départ qui font que leur statut réel (RH : sorti) n’est pas le même que leur statut opérationnel (ex: plus d’accès aux locaux, mais garde un accès messagerie) • -> il faut prévoir la possibilité de masquer certaines données pendant un certain temps • -> il faut prévoir de pour désactiver certaines mises à jour automatiques par individu (chez nous, a partir d’un certain niveau de qualification, certaines opérations ne sont plus automatiques) • Historiser les changements (sur les données)! • Et bien sur attention à la déclaration CNIL
