Consolidation des utilisateurs
Introduction
Actuellement, les utilisateurs sont gérés par dossier. Cela signifie qu’il y a une liste d’utilisateurs par dossier. En effet, pour avoir accès à différents dossiers, un accès doit être créé dans chaque dossier. Les noms d’utilisateurs, ainsi que les mots de passe, peuvent différer d’un dossier à l’autre. Les modifications des utilisateurs (et de leurs rôles) doivent donc également être effectuées dans les différents dossiers.
Les modifications apportées aux utilisateurs (et à leurs rôles) doivent également être effectuées dans les différents dossiers. Pour simplifier la gestion des utilisateurs et des accès aux différents dossiers, nous proposons gratuitement un nouvel outil qui permet une gestion centralisée des utilisateurs : l’Identity Portal.
Le Portail Identité
L’Identity Portal centralise tous les utilisateurs des différents dossiers et permet une gestion centralisée des rôles et des droits. L’Identity Portal supporte l’authentification à deux facteurs (2FA) et OpenID Connect.
Pour rendre cela possible, tous les utilisateurs des différents dossiers devront être fusionnés. Cette opération semi-automatique est appelée “consolidation des utilisateurs” dans ce qui suit.
La consolidation
L’image ci-dessous illustre le principe. Maria Janssen (initiales MARJAN) a actuellement un utilisateur dans les différents dossiers. Ensemble, ces utilisateurs formeront un nouvel utilisateur (MARJAN – Maria Janssen) dans l’Identity Portal
Consolidation des utilisateurs
Ces utilisateurs sont consolidés sur la base d’un ensemble de règles prédéfinies :
(règle 1) Les utilisateurs ayant le même nom et prénom, le même nom d’utilisateur et le même mot de passe non crypté sont regroupés.
(règle 2) Les utilisateurs ayant le même nom de famille et le même numéro de sécurité sociale sont regroupés.
(règle 3) Les utilisateurs ayant le même nom de famille et le même numéro de badge ou le même login windows sont fusionnés.
(règle 4) Les utilisateurs ayant le même nom d’utilisateur, le même prénom, le même nom de famille et le même mot de passe non crypté sont fusionnés.
Le processus de consolidation tente d’abord de fusionner les utilisateurs sur la base de la logique de la règle 1, puis sur la base de la logique de la règle 2, et ainsi de suite.
Ce processus de consolidation peut être effectué fichier par dossier, ou différents dossiers peuvent être consolidés ensemble jusqu’à ce que tous les dossierssoient consolidés.
Consolider les rôles des utilisateurs
Les utilisateurs peuvent avoir différents rôles/groupes d’utilisateurs dans différents dossiers. Des droits d’accès sont attribués à ces rôles. Les utilisateurs consolidés reprennent pour chaque dossier le rôle que l’utilisateur détenait dans le dossier.
Maria Janssen utilise le compte d’utilisateur MARJAN dans trois dossiers différents, avec des rôles différents. Dans la procédure de consolidation, les différents comptes d’utilisateur seront fusionnés en un seul compte d’utilisateur MARJAN. L’utilisateur consolidé MARJAN conservera des rôles différents dans les différents dossiers.
Administrateur d’identité
Une fonction spéciale a été ajoutée pour gérer l’accès au Identity Portal. Cette fonction est automatiquement accordée lors de la première consolidation si l’utilisateur a le droit d’effectuer la gestion des utilisateurs et des accès dans tous les dossiers consolidés. Attention, une fois que ce droit est accordé, il n’est pas retiré. Supposons un environnement composé de trois fichiers, dans lequel un utilisateur dispose de droits de gestion des utilisateurs sur deux des trois fichiers. Initialement, les deux fichiers sur lesquels cet utilisateur a des droits de gestion sont consolidés et cet utilisateur se verra attribuer le rôle d’Identity Admin (voir l’illustration ci-dessous au milieu). Lors de la consolidation du troisième dossier, cet utilisateur pourra effectuer la gestion des utilisateurs indirectement, via le l’Identity Portal, pour ce troisième dossier grâce à son rôle spécial Identity Admin.
Il ne faut pas confondre l’attribution du rôle spécial d’administrateur d’identité avec le droit de naviguer dans le fichier vers configuration > utilisateurs ou configuration > droits d’accès. Le droit d’administrateur d’identité est une fonction au niveau du portail d’identité et donne le droit de gérer les utilisateurs dans le portail d’identité pour tous les utilisateurs et tous les dossiers, tandis que le droit d’accès « Utilisateurs » et le droit d’accès « Droits d’accès » donnent à un utilisateur le droit de gérer les utilisateurs dans un seul dossier.
Un utilisateur qui, par son rôle, a accordé le droit de gérer les utilisateurs, mais ne l’a accordé que pour une partie des dossiers, pourra toujours le faire après la consolidation, mais uniquement pour les dossiers pour lesquels il avait accordé ce droit avant la consolidation.
Cet utilisateur, bien qu’il ne soit pas désigné comme Identity Admin, n’aura pas d’accès direct au Identity Portail. Toutefois, il pourra se connecter à une version personnalisée du Identity Portail via la configuration d’utilisateur connue dans le dossier qui autorise uniquement la gestion des utilisateurs pour ce fichier. Les seules actions que cet utilisateur peut entreprendre sont l’ajout d’utilisateurs et l’attribution de rôles aux utilisateurs au dossier pour lequel l’utilisateur a des droits de gestion des utilisateurs.
Consolidation de droits d’ utilisateurs
Un rôle se voit attribuer des droits (d’accès). Actuellement (avant la consolidation), ces droits peuvent être différents d’un fichier à l’autre. Le rôle d’utilisateur « Administration » peut se voir attribuer des droits différents dans un dossier et dans un autre.
Dans le portail d’identité, tous les rôles auront les mêmes droits d’accès dans tous les dossiers. Il ne sera désormais plus possible d’accorder des droits d’accès différents pour un même rôle dans différents dossiers.
Les rôles unifiés obtiendront les droits à partir du premier dossier consolidé dans lequel le rôle apparaît.
Pourquoi les utilisateurs sont-ils consolidés ?
Plusieurs arguments plaident en faveur de la consolidation des utilisateurs.
Tout d’abord, en consolidant les comptes d’utilisateurs, les organisations peuvent mieux contrôler qui a accès à quels systèmes et à quelles données. Cela réduit le risque d’accès non autorisé et contribue à maintenir des politiques de sécurité cohérentes.
En outre, lorsque les comptes d’utilisateurs sont répartis entre plusieurs systèmes et applications, leur gestion est complexe et prend du temps. La consolidation des comptes simplifie la gestion, car les utilisateurs n’ont qu’un seul jeu d’identifiants de connexion et les administrateurs informatiques n’ont qu’un seul point d’accès et de contrôle.
Les utilisateurs sont souvent frustrés lorsqu’ils doivent se souvenir de plusieurs identifiants de connexion pour différents systèmes et applications. En consolidant les comptes et en utilisant éventuellement le Single Sign-On (SSO), l’expérience des utilisateurs est améliorée car ils n’ont besoin de se connecter qu’une seule fois pour accéder à différentes ressources.
WZS IAM prend en charge l'authentification multiple, est-ce obligatoire ?
Depuis, l’authentification multiple est devenue une pratique exemplaire sur le marché. Le gouvernement reconnaît lui aussi l’importance de l’authentification multiple en tant que méthode efficace de protection des données contre les cybermenaces et en fait une condition d’utilisation de Titan BelRAI.
Tout utilisateur souhaitant accéder à l’application Titan BelRAI devra utiliser une forme de 2FA pour se connecter. Les utilisateurs qui peuvent accorder des droits à d’autres utilisateurs devront également se connecter à l’aide d’une forme d’authentification multiple. L’authentification multiple peut être ignorée pour les autres tentatives de connexion pour l’instant. Plus d’infos ici
Nous souhaitons consolider 2 de nos fichiers pour voir comment cela se passe avant de consolider tous nos fichiers, comment les utilisateurs de nos autres fichiers doivent-ils se connecter dans l'intervalle ?
Les utilisateurs des dossiers qui ont été consolidés se connecteront via leur nouvel utilisateur unifié. Les utilisateurs de dossier qui n’ont pas encore été consolidés pourront toujours utiliser leur utilisateur existant jusqu’à ce que le dossier soit consolidé. Les utilisateurs qui ont accès à plusieurs dossiers, dont certains ont déjà été consolidés, pourront se connecter aux dossiers déjà consolidés via leur nouvel utilisateur unifié et utiliser leur utilisateur existant pour les dossiers qui n’ont pas encore été consolidés.
Comment informer les utilisateurs sur le processus de consolidation des comptes ?
Un modèle a été créé pour vous permettre d’informer vos utilisateurs sur l’intervention. Il est disponible ici.
Quelles mesures de sécurité devons-nous mettre en œuvre ?
Grâce au système d’authentification unifiée, les informations relatives aux utilisateurs seront partagées sur le réseau. Pour sécuriser ce partage, WZS doit être configuré pour HTTPS. Cela garantit le chiffrement des données pendant la transmission et empêche l’interception d’informations sensibles. Pour ce faire, la prise en charge du défi DNS de Let’s Encrypt, une méthode de demande de certificats SSL/TLS, a été ajoutée dans WZS. Plus d’infos ici.
Quels sont les défis posés par la consolidation des comptes d'utilisateurs ?
Deux utilisateurs avec le même nom d’utilisateur pour des personnes différentes
Si un utilisateur MARJAN existe dans un dossier, utilisé par Maria Janssen, et que dans un autre dossier un utilisateur MARJAN existe pour Marion Jansema, les deux utilisateurs ne peuvent pas être fusionnés car ils ont été créés pour deux personnes différentes. Les deux utilisateurs ne peuvent pas être fusionnés car ils ont été créés pour deux personnes différentes. Deux utilisateurs différents sont créés dans le processus de consolidation : MARJAN et MARJAN_2. Marion ne peut plus se connecter avec son nom d’utilisateur connu MARJAN après la consolidation. Seule Marjan pourra encore se connecter avec son nom d’utilisateur et son mot de passe connus.
Deux utilisateurs pour la même personne – Fusionner des utilisateurs similaires
Si un compte d’utilisateur existe dans un dossier portant les initiales MARJAN, utilisé par Maria Janssen, et qu’un compte d’utilisateur portant le même nom existe dans un autre dossier portant les initiales MARJAN, également utilisé par Maria Janssen, et que le mot de passe non crypté, le numéro de registre national et le numéro de badge de ces deux utilisateurs sont différents, ces utilisateurs ne pourront pas être fusionnés. La logique ne permet donc pas de conclure avec certitude que les deux utilisateurs sont utilisés pour la même personne. Deux utilisateurs MARJAN et MARJAN_1 sont créés.
Pour continuer à fusionner de tels utilisateurs, le portail des identités a ajouté l’option de fusionner manuellement des utilisateurs similaires après la consolidation.
Dans l’exemple ci-dessus, les comptes utilisateurs MARJAN et MARJAN_1 pourront être fusionnés manuellement à l’aide de l’outil de fusion des comptes utilisateurs.
Nous n'avons qu'un seul dossier, devons nous consolider nos utilisateurs?
Oui, tous les utilisateurs de tous les dossiers devront être consolidés. Qu’il s’agisse d’une maison de retraite individuelle ou d’un groupe de maisons de retraite.