virtu-desk
  • La virtualisation
    • Les éditeurs
      • Citrix
      • Liquidware
      • Microsoft
      • Systancia
      • VMware
    • Les solutions
      • Les applications
      • Le poste de travail
      • Les serveurs
    • La mobilité
      • CYOD & bureau mobile
      • Enjeux et défis pour les entre
      • Qu'en pensent les entreprises
      • La mobilité et la virtualisati
      • Pourquoi une tablette au trava
    • Le cloud
      • Cloud computing
      • Cloud & Poste de travail
      • Le Cloud Computing en video
    • Les principes
    • Le V.D.I
  • L'écosystème
    • L'environnement utilisateur
      • AppSense User Virtualization
      • Norskale
      • ProfileUnity
      • RES Workspace Manager
      • vWorkspace
    • La containerisation
      • Les produits
      • Les éditeurs
    • Divers
      • Avencis Hpliance
      • Citrix Provisioning Server
      • Flex-IO
    • Audit/Supervision
      • Stratusphere FIT
      • Stratusphere UX
  • La sécurité
    • Systancia IPdiva
      • IPdiva Safe
      • IPdiva Secure
    • Bitdefender GravityZone
    • Recover2Cloud
    • Veeam Availability Suite
    • Avencis SSOX
  • Convergence & VDI
    • Convergentes
      • BladeSystem Matrix
      • Flexpod
      • PureFlex
      • Vblock
      • Virtual Compute
      • vStart
    • Hyper-convergentes
      • Atlantis HyperScale
      • Cisco HyperFlex
      • DataCore
      • Dell XC Series
      • EMC ScaleIO
      • HP Converged System
      • HP StoreVirtual VSA
      • Lenovo Série HX
      • Microsoft S2D
      • NetApp HCI
      • Nutanix
      • Pivot3
      • Scale Computing
      • Simplivity
      • VCE VxRack
      • Virtual SAN
      • VMware EVO:RAIL
  • L'actualité IT
    • La virtualisation du poste
    • Les infrastructures convergées
    • La sécurité
    • Divers
    • Les archives
      • La virtualisation du poste
      • Les infrastructures convergées
      • La sécurité
      • Divers

Blog - Ecosystème

  • Lister les billets de la rubrique
    • Meltdown et Spectre - Minimisez l'impact et évitez les problèmes de performance avec Stratusphere UX…
    • Comment améliorer la collaboration entre DSI et DRH
    • IPdiva Safe as a Service - Prendre le contrôle à distance au travers d'une solution PAM
    • Nouvelles fonctionnalités du produit Liquidware Stratusphere UX 6.0
    • Hpliance – Présentation générale et concepts
    • IPdiva Secure labellisée "France Cybersecurity"
    • Avencis SSOX 10 améliore l'expérience utilisateur en matière d'authentification forte
    • VirtualBrowser – Sécuriser l’accès au web et aux applications…
    • SmartBrowser – Un navigateur d’entreprise compatible avec toutes vos applications web
    • Avencis SSOX – Authentification et sécurisation des accès
    • Avencis Hpliance – Gestion des identités et des habilitations...
    • Boostez les performances de votre desktop avec Liquidware Labs, Citrix et Nutanix
    • Citrix Synergy 2015 - Interview vidéo avec Liquidware Labs
    • Une meilleure visibilité du poste avec Stratusphere de Liquidware Labs
    • Stratusphere UX 5.7 - Des tableaux de bord avec graphes « Sparkline »
    • Liquidware Labs offre une visibilité inégalée avec Stratusphere ™ 5.7
    • Liquidware Labs au VMworld® 2014 à Barcelone
    • Liquidware Labs et ses solutions de management
    • Architecture Stratusphere FIT et UX
    • Monitoring des postes de travail virtuels
    • FlexApp™ For ProfileUnity

Les catégories du blog

  • Résolution d'incidents
  • Virtualisation d'applications
  • Virtualisation de postes de travail
  • Virtualisation de serveurs
  • L'Ecosystème
  • Infrastructures (hyper) convergentes
  • Cloud & Big Data
  • Divers

Les tags du blog

AppliDis Citrix Cloud Convergence Divers EMC Horizon View IPdiva Liquidware Labs Microsoft Nutanix SBC Simplivity StratusphereUX Systancia sécurité VDI VMware VSAN XenApp
  • Accueil /
  • Tous les billets du blog /
  • L'Ecosystème /
  • Hpliance – Présentation générale et concepts

Hpliance – Présentation générale et concepts

Par Francis MILLOT | Le Dim 03 Sept 2017 | Commentaires (0) | L'Ecosystème

L’ouverture des systèmes d’information a rendu plus complexe leur évolution et leur administration. Il est donc, aujourd’hui plus que jamais, primordial de contrôler et sécuriser l’accès à l’information dans un contexte de grande volatilité des accès.

Avencis hpliance 1

Avencis Hpliance est la solution de gestion des identités et des habilitations de Systancia. Elle rend le système d’information plus agile, plus réactif et améliore la productivité des utilisateurs en automatisant l’accès aux ressources de l’entreprise.

Présentation générale de Hpliance

Hpliance est une solution centralisée de gestion d'identités et d'habilitations qui permet de gérer le cycle de vie informatique des collaborateurs au sein du système d'information.

La solution :

  • Importe depuis différentes sources d'alimentation – sources de données (annuaires, SGBD, fichiers plats, etc.) des informations d'identités au travers un moteur de synchronisation.
  • Centralise ces informations dans un annuaire unique d'identités.
  • Attribue de manière automatique ou discrétionnaire des droits / rôles applicatifs aux identités.
  • Provisionne les droits et comptes dans les référentiels / applications cibles au travers un moteur de synchronisation.

Hpliance propose un modèle de base qui doit être adapté à l'entreprise pour coller aux contraintes organisationnelles, sémantiques et au système d'information. La configuration d'Hpliance est réalisée au sein de la solution par des formulaires Web. L'intervention d'experts techniques peut être nécessaire pour l'échange de données avec les systèmes connectés (base de données des ressources humaines, annuaire d'infrastructure, référentiels applicatifs pour lesquels il faut gérer les comptes).

Représentation fonctionnelle

Representation fonctionnelle hpliance

 

Architecture générale de la solution

Hpliance est développé sur une technologie .net et les données sont stockées dans une base SQL Server.

Pour la synchronisation avec les systèmes connectés, Hpliance s'intègre avec le produit HPP d'Avencis ou FIM de Microsoft.

Les systèmes d'alimentation ou de provisioning peuvent être des annuaires (AD, ADLDS, Ldap), des bases de données relationnelles, des fichiers plats, ...

Architecture hpliance

Définitions

Attribut

Information d'une personne portant sur son identité ou son affectation dans l'entreprise. Un attribut peut être enregistré dans le site Hpliance, récupéré d'un autre référentiel par alimentation amont ou calculé à partir d'autres attributs.

Exemple : Nom, adresse, identifiant unique, métier.

Alimentation Amont

Représente le processus utilisé par Hpliance pour importer dans sa base toute donnée provenant d'une source extérieure (fichier, base de données …)

Application Cible

Ce terme décrit une application pour laquelle Hpliance est capable de créer automatiquement des comptes utilisateurs et de leurs affecter des droits dans celle-ci.

Catégorie d'attribut.

Une catégorie permet de regrouper un ensemble d'attribut dans une même zone sur la fiche d'une personne. La catégorie n'a pas de notion logique mais uniquement graphique.

Exemple : Pour la catégorie "Contacts professionnel" on peut rassembler les attributs : adresse mail professionnelle, téléphone fixe professionnel, téléphone portable professionnel, adresse professionnelle ... L'ensemble des attributs d'une même catégorie sont affichés dans le même cadre sur la fiche de la personne.

Enumérations

Représente un champ pour lequel seules des valeurs prédéfinies sont acceptées, typiquement des listes déroulantes. Les valeurs des énumérations peuvent être enregistrées dans Hpliance ou par alimentation amont.

Exemple : Liste des métiers.

Règle d'habiliitation

Une règle associe des droits applicatifs à des personnes de Hpliance, par l'intermédiaire de leurs attributs et leur appartenance à une structure.

Exemple : On associe à toutes les personnes du service comptabilité le droit "Accès à l'application de comptabilité" et le droit "Accès à l'application de facturation".

Profil d'administration

Définit un ensemble de droits en consultation, modification et suppression sur les fonctionnalités d'Hpliance. Le profil d'administration peut être limité dans son périmètre par la portée de permission.  (par exemple : type de personne, affectation, métier)

Exemple : Le profil "Responsable RH" donne le droit de consulter les fiches de toutes les personnes, mais ne permet de modifier que les personnes internes. Le profil "Chef de service" peut modifier la fiche des personnes de son service, mais n'a pas accès à certaines informations personnelles.

Portée de permission

Dans la définition des profils d'administration, une portée est un ensemble de conditions permettant de réduire le périmètre d'une action. Une condition concerne toujours l'objet sur lequel porte l'action.

Exemple : Dans le profil "Gestionnaire des externes", l'action "Créer des personnes", est limitée par la condition sur la personne. Un gestionnaire des externes ne peut créer que des personnes de type "Externe".

Provisioning

Le Provisioning est l'action qui consiste à créer, modifier, supprimer les comptes utilisateur et les droits associés aux comptes dans les applications cibles.

Structures

Une structure est la représentation, sous forme d'arbre, d'une forme d'organisation de l'entreprise à modéliser.

  • Arbre : Représentation logique et graphique de l'entreprise. (Ex : Arbre géographique, Arbre organisationnel)
  • Structure : Représente un nœud de l'arbre. Peut contenir d'autres structures ou pas.

Exemple : La structure organisationnelle "Pôle" contient des structures "Service", qui contient des structures "Unités fonctionnelles".

 

Les concepts d’Hpliance

Gestion des identités

L'objet Personne :

L'objet « personne » est la représentation d'une identité intervenant physiquement au sein de l'entreprise. Une personne est définie au sein d'Hpliance par un « type de personne » et un ensemble d'attributs qui caractérise ses informations personnelles, professionnelles ou applicatifs. La solution permet de créer autant de type de personnes que le système d'information doit gérer. Il est ainsi possible de gérer les internes, les prestataires, les stagiaires, etc.

L'objet Structure :

L'objet « structure » est la représentation d'une branche de l'organisation de l'entreprise. Une structure est caractérisée par un « type de structure » et appartient à un « arbre » de structures, arborescence d'un ensemble de structures hiérarchisées. Il est ainsi possible de gérer selon le besoin différents arbres : organisationnel, géographique, fonctionnel, etc. Un type de structure est la représentation d'un type de « nœud » ou « feuille » récurent dans l'arbre, i.e. : services, département, unité fonctionnelle, centre de responsabilité, pôle, établissement, etc.

L'objet Enumération :

L'objet « énumération » est un type d'attribut de personne particulier contenant une liste finie de valeurs, i.e. : énumération regroupant tous les métiers ou toutes les fonctions qu'une personne peut occuper dans l'entreprise. Ce type d'objet est primordial dans la solution Hpliance puisqu'il permet de filtrer une population particulière au sein d'une structure pour l'attribution de règles d'habilitation.

Gestions des habilitations

Le modèle OrBAC :

OrBAC : Organization-Based Access Control, Contrôle d'accès basé sur l'organisation, est le modèle d'attribution des accès applicatifs sur lequel Hpliance se base pour affecter de manière automatique les droits aux personnes. Hpliance permet de définir des règles d'habilitations qui se basent sur ce modèle afin de déterminer les droits à affecter aux personnes en fonction de :

  • Leur rôle (fonction, métier, spécialité, etc.) représenté par une ou plusieurs énumérations.
  • Leur appartenance à une branche dans l'organisation, représentée par une structure.

L'idée est de répondre à la question : « Qui doit avoir quel(s) droit(s) en fonction de quel(s) critère(s) ? ».

Les règles d'habilitation :

Une règle d'habilitation (anciennement nommé "KAD") est l'objet dans Hpliance qui permet d'attribuer un ou plusieurs droits applicatifs à une population de personnes en fonction de leur rattachement à des structures et de leur rôle dans l'organisation. C'est l'objet représentant le modèle OrBAC dans Hpliance. Une règle est caractérisée par son positionnement sur une ou plusieurs structures de l'organisation et par les filtres (métier, fonction, etc.) qui permettent de sélectionner la population cible impactée au sein de la structure et ses sous structures. De par le modèle OrBAC et la représentation de l'organisation sous forme arborescente, une règle peut être automatiquement propagée aux sous-structures de la structure à laquelle elle est rattachée. On parle alors d'héritage de règles.

Les Référentiels :

Un « référentiel » est l'objet dans Hpliance qui représente la base cible où les comptes et droits applicatifs doivent être provisionnés. La base peut correspondre à un annuaire LDAP, un Active Directory, une instance Active Directory Lightweight Directory Services, une base relationnelle (SGBD), un fichier plat, etc.

Les comptes applicatifs :

Un « compte » est l'objet dans Hpliance correspondant au login et mot de passe associés à une personne pour une application donnée. Il est caractérisé par un identifiant, un mot de passe et un type de compte, i.e. : type de compte pour administrateur, pour développeur, pour utilisateur, etc. Chaque type de compte possède une politique de login et une politique de mot de passe qui lui sont propres : i.e. : la politique de mot de passe des comptes de type administrateur doit être composée d'au moins 12 caractères alors que celle des utilisateurs de 8 caractères.

Les droits applicatifs :

Un « droit » est l'objet dans Hpliance représentant une habilitation particulière dans une application cible. Un droit peut être associé à une personne de deux manières :

  • Discrétionnaire : affectation manuelle par un utilisateur ou Workflow avec la possibilité de définir une période de validité du droit (date de début et date de fin du droit).
  • Automatique : affectation du droit par règle si la personne correspond aux filtres de la règle c'est à dire possède les énumérations de la règle et est rattachée à la structure ou à une sous-structure à laquelle la règle est rattachée ou héritée.

Gestion des ressources

L'objet Ressource :

Une « ressource » est un objet Hpliance représentant un objet physique, virtuel, etc., qui peut être associé à une personne ou une structure, i.e. : ressource téléphone, imprimante, etc. Une ressource est caractérisée par un type de ressource et un ensemble d'informations sous forme d'attributs (à l'instar des personnes). Hpliance permet de centraliser l'inventaire de ces ressources.

Workflows

Les Workflows :

Un « Workflow » est un objet Hpliance permettant de modéliser un processus enchaînant des tâches à exécuter en fonction d'évènements (initiés par une personne ou par le système) et de conditions.

Un Workflow Hpliance peut être de type :

  • Demande utilisateur : demande réalisée depuis l'IHM dans Hpliance. Le Workflow est initié par l'utilisateur lui-même.
  • Evénementiel : déclenchement d'un Workflow suite à un événement déclenché par le système ou un utilisateur, i.e. : arrivée d'une nouvelle personne, mutation de personne, attribution de droit, etc.
  • Périodique : déclenchement d'un Workflow à intervalle de temps défini, i.e. : envoi d'une notification avec rapport en pièce jointe chaque jour à 8 h00.
  • Par anticipation ou différé : déclenchement d'un Workflow avant ou après une date de la fiche personne plus ou moins un delta, i.e. : envoi d'une notification 5 jours avant la fin de contrat d'une personne.

Les étapes :

Un Workflow est composé « d'étapes » séquentielles pouvant être exécutées ou outrepassées. Elles-mêmes sont composées « d'actions » qui sont les tâches à exécuter à proprement dit.

Les actions :

Les actions sont les opérations à réaliser par le moteur de workflow au sein d'une étape d'un Workflow.

Elles peuvent être de type :

  • Notification : envoi de mail.
  • Exécution de process (batch, power Shell, Exe, etc.).
  • Ajout de droit à une ou plusieurs personnes (cibles).
  • Suppression de droit à une ou plusieurs personnes (cibles).
  • Modification d'informations de personne(s) (cibles).
  • Suppression de personne.

Les tâches :

Les tâches sont des opérations à réaliser par un des opérateurs (Acteur) au sein d'une étape d'un Workflow. Elles impliquent une confirmation par un opérateur autorisé.

Elles peuvent être de type :

  • Générique
  • Validation
  • Affectation de ressource(s)
  • Provisioning manuel
  • Déprovisioning manuel

Profils d'administration

Un « profil d'administration » est un objet Hpliance permettant de définir des privilèges sur la solution Hpliance qui seront affectés à des personnes. Sans profil d'administration une personne ne peut pas accéder à Hpliance. Il est possible d'attribuer des profils d'administration à des personnes afin qu'ils puissent réaliser des tâches spécifiques sur Hpliance.

Audits / rapports

Un « rapport » est un objet Hpliance permettant de proposer des tableaux de bords, statiques ou dynamiques, permettant d'extraire toute information stockée dans l'annuaire d'identité et d'habilitation Hpliance (Base de Données Hpliance). Les rapports peuvent porter sur les personnes, leurs accès, les ressources associés, etc. et se présentent sous forme de tableau et/ou graphique.

Systancia Hpliance IAM

Articles similaires

IAM - Progresser sur la voie de la conformité au RGPD.

Le Règlement Général de l'UE sur la Protection des Données (RGPD ou GDPR en anglais) renforce et harmonise la protection des données à caractère personnel pour l’ensemble des citoyens de l'UE. …

Comment améliorer la collaboration entre DSI et DRH

En voilà une bonne question. La transformation numérique est à l’œuvre dans les ressources humaines (RH), et ce depuis déjà quelques années. …

17 votes. Moyenne 5.00 sur 5.

Vous devez être connecté pour poster un commentaire

                                www.virtu-desk.fr                                                      « Les technologies de virtualisation de l'environnement utilisateur »

            A propos

  • Mentions légales
  • CGU

 

         Contacts

  • Me contacter
  • Modération

   

               Me suivre

Twitter        Viadéo       Linked

Twitter 2    Vimeo    Linked in

 

           Abonnnement aux flux RSS

   Site         Blog         Agenda     Forum

Rss   Rss    Rss   Rss

 Copyright 04-2014 - Francis MILLOT