IAM - 3. Un portail d’identités efficient

La gestion d’identité est souvent vue comme un thème technique n’intéressant que les administrateurs du Système d’Information. Concentrons-nous sur la partie visible de l’iceberg, celle qui concerne chaque collaborateur.

Recherche sur un collaborateur.

- Bonjour Gérard, vous m’avez appelée ?
- Bonjour Sophie, j’aurai besoin de contacter Olivier, il est malade depuis deux semaines et personne ne sait où il a mis les documents du projet X.
- Bien, je vais regarder.
Dix minutes plus tard ...
- J’ai cherché dans l’Intranet et je ne l’ai pas trouvé
- C’est normal, l’Intranet est public et l’information que je vous demande est privée.
- Et je cherche où alors ?
- Dans ses papiers ! Il a bien rempli des papiers en arrivant ici (il y a 15 ans) ?
2 heures plus tard après un aller retour dans le service RH puis un aller retour à la cave dans les archives le numéro a été trouvé.

La construction d’un portail d’identité se fait généralement en deux étapes qui, vous allez le voir, sont nettement insuffisantes.

1. La première étape consiste à récolter les informations sur les collaborateurs de l’entreprise et à les afficher le plus ergonomiquement possible.
   
2. La deuxième étape consiste à créer une page de recherche avec les champs « nom », « prénom », « numéro de téléphone » etc. et un bouton « rechercher ». Si les critères de la recherche sont insuffisants pour obtenir la fiche d’un seul collaborateur, une page intermédiaire permet de sélectionner le collaborateur voulu parmi une liste de choix possibles.

À ce niveau de réflexion, il est évident que les informations d’identité du collaborateur sont celles qui sont visibles par tout le monde. Le portail est une simple application « pages jaunes/pages blanches ».

Centraliser l’information

Les informations privées sont, quant à elles, accessibles à partir d’autres progiciels, applications diverses, référentiels de stockage informatique ou dans des listings papier ou encore dans le dossier de chaque collaborateur.

Cela n’encourage pas l’ensemble des collaborateurs à utiliser le nouveau portail d’identité qui vient d’être implémenté, puisqu’il est incomplet.
Une information décentralisée ne fait pas gagner de temps, au contraire, elle en fait perdre.

Pour gagner en productivité, il est nécessaire de centraliser toutes les informations d’identité. Nous ne nous intéressons pas ici aux problématiques liées au provisioning de référentiels.

Adapter l’information

Intéressons-nous à la possibilité de présenter ces informations confidentielles.

Quelle quantité d’informations confidentielles peut être disponible à partir du portail ? Partons du principe de disposer de toute l’information, confidentielle, privée ou publique à partir du portail.

Comment protéger ces informations confidentielles ? Le portail doit être sécurisé. Une page d’identification permet de vérifier que la personne qui se logue est bien connue du SI et qu’ensuite elle est qui elle prétend être, par la saisie de son mot de passe par exemple. Nous ne nous intéressons pas ici à l’art et la manière de sécuriser l’accès à un portail.

Le portail est protégé. Seules les personnes authentifiées ont accès aux informations d’identité. Sécuriser l’accès est nécessaire, mais pas suffisant, dans notre étude, si on ne gère pas l’identité de la personne connectée. En effet, avant d’afficher une information confidentielle, il faut s’assurer que la personne connectée ait le droit de voir cette information. C’est ce qu’on appelle l’habilitation. Sur quels critères l’information confidentielle doit-elle être affichée ? Et inversement, sur quels critères l’information confidentielle ne doit surtout pas être affichée ? Dans l’ensemble des éléments dits confidentiels, certains le restent pour la personne connectée, d’autres ne le sont plus.

Classifier les individus

Une première idée serait de gérer les droits, pour chaque utilisateur, sur chaque champ affiché, au niveau le plus bas, en positionnant des ACL dans l’annuaire LDAP, par exemple. Cette idée est

• Passable si le nombre de profils métier différents ou de collaborateurs dans l’entreprise ne dépasse pas 3
• Compliquée voire même irréalisable si l’entreprise est hétérogène en terme de fonctions et de services.
• Trop technique.
  

Un directeur, un commercial, un architecte, une secrétaire, un employé lambda, n’ont pas les mêmes besoins ni les mêmes droits, sinon tout le monde serait directeur. De plus le directeur de l’agence de Lyon a des contraintes différentes de celui de l’agence de Bordeaux…

Une étude peut être faite pour aboutir à une classification claire et précise des employés, mais attention à la maintenance et à l’évolution d’une telle structure sans le bon outil et les bonnes procédures.

Le bon outil

Plusieurs procédés sont envisageables pour implémenter notre portail.
Certains préféreront le développer de A jusqu’à Z. D’autres choisiront d’utiliser un outil de gestion de contenu d’identité. Pour ma part, je suis partisan de ne pas refaire le monde à chaque fois.
Parfois, investir dans un outil de gestion de contenu d’identité est la bonne solution, en termes de rapidité d’élaboration, d’administration, de maintenance et d’évolutivité.

Le bon référentiel

Nous n’avons pas encore discuté des référentiels de données. Nous avons vu qu’il fallait centraliser l’information. Notre portail présente cette information à partir d’un point d’accès unique. Mais faut-il aller plus loin et la centraliser physiquement en un seul référentiel ? Encore une fois, cela dépend du contexte et n’est pas toujours envisageable.
Dans la majorité des cas, avoir un référentiel central est une bonne solution, cela optimise la recherche d’informations, à partir du moment où un outil permet de gérer la synchronisation avec les autres référentiels.

En profiter pour gérer son SI

Nous avons discuté de l’utilité de présenter l’information d’identité à partir d’un portail, accessible dans l’Intranet par exemple. Ce portail est sécurisé et l’information est pertinente. Nous avons tous les éléments réunis pour étendre ses fonctionnalités et offrir des interfaces de gestion de l’identité.

Ajouter, modifier, supprimer sont des actions qui se font régulièrement et plusieurs fois par jour si l’entreprise est importante. Elles sont souvent réservées à une élite technique du SI qui finit par faire de la saisie administrative pour faire vivre le portail.

L’administration centralisée d’un portail est une fonctionnalité intéressante qui fera l’objet d’un autre article dans notre blog.

En résumé

Aujourd’hui il est parfaitement envisageable d’avoir une information et une administration centralisée de son SI. La productivité des collaborateurs sera nettement améliorée. L’administration du SI sera grandement facilitée et rapidement apparaîtra une réduction de coût de production et d’exploitation.

Dans certains cas, centraliser l’information correspond à la réunir physiquement, dans d’autres cas cela signifie la présenter en une unique interface IHM. La règle absolue n’existe pas, mais seule une étude approfondie permettra d’être certain de choisir la bonne solution.

Centraliser l’information est nécessaire mais pas suffisant. Nous l’avons vu, il faut présenter une information utile et pertinente en fonction de l’utilisateur connecté. L’idée qu’il y a derrière une gestion des identités et des accès, n’est pas de sécuriser pour interdire mais sécuriser pour présenter l’information utile sur l’identité d’une personne.
De plus, outre la sécurité, le besoin d’information est différent selon le profil de l’utilisateur qui fait la recherche. Ce qui est important c’est que l’information soit trouvée rapidement.

Implémenter un portail d’identité efficient permet de gagner

• en sécurité
  • Toutes les recherches passent par une interface centralisée dont l’accès est sécurise.
  • Le demandeur est bien identifié, authentifier et habilité. Il est connu par son profil métier.
• en productivité
  • Les recherches d’identité passent par une IHM unique.
  • Les recherches sont plus performantes car seule l’information utile au profil métier de la personne qui fait la recherche est présentée.
• en retour sur investissement
  • Le temps perdu à rechercher l’information dans plusieurs référentiels est supprimé.
  • Toute l’information utile est présente à un seul endroit et donc accessible.