Hpliance – Présentation générale et concepts

Avencis Hpliance est la solution de gestion des identités et des habilitations de Systancia. Elle rend le système d’information plus agile, plus réactif et améliore la productivité des utilisateurs en automatisant l’accès aux ressources de l’entreprise.

Présentation générale de Hpliance

Hpliance est une solution centralisée de gestion d'identités et d'habilitations qui permet de gérer le cycle de vie informatique des collaborateurs au sein du système d'information.

La solution :

• Importe depuis différentes sources d'alimentation – sources de données (annuaires, SGBD, fichiers plats, etc.) des informations d'identités au travers un moteur de synchronisation.
• Centralise ces informations dans un annuaire unique d'identités.
• Attribue de manière automatique ou discrétionnaire des droits / rôles applicatifs aux identités.
• Provisionne les droits et comptes dans les référentiels / applications cibles au travers un moteur de synchronisation.

Hpliance propose un modèle de base qui doit être adapté à l'entreprise pour coller aux contraintes organisationnelles, sémantiques et au système d'information. La configuration d'Hpliance est réalisée au sein de la solution par des formulaires Web. L'intervention d'experts techniques peut être nécessaire pour l'échange de données avec les systèmes connectés (base de données des ressources humaines, annuaire d'infrastructure, référentiels applicatifs pour lesquels il faut gérer les comptes).

Représentation fonctionnelle

Architecture générale de la solution

Hpliance est développé sur une technologie .net et les données sont stockées dans une base SQL Server.

Pour la synchronisation avec les systèmes connectés, Hpliance s'intègre avec le produit HPP d'Avencis ou FIM de Microsoft.

Les systèmes d'alimentation ou de provisioning peuvent être des annuaires (AD, ADLDS, Ldap), des bases de données relationnelles, des fichiers plats, ...

Définitions

Attribut

Information d'une personne portant sur son identité ou son affectation dans l'entreprise. Un attribut peut être enregistré dans le site Hpliance, récupéré d'un autre référentiel par alimentation amont ou calculé à partir d'autres attributs.

Exemple : Nom, adresse, identifiant unique, métier.

Alimentation Amont

Représente le processus utilisé par Hpliance pour importer dans sa base toute donnée provenant d'une source extérieure (fichier, base de données …)

Application Cible

Ce terme décrit une application pour laquelle Hpliance est capable de créer automatiquement des comptes utilisateurs et de leurs affecter des droits dans celle-ci.

Catégorie d'attribut.

Une catégorie permet de regrouper un ensemble d'attribut dans une même zone sur la fiche d'une personne. La catégorie n'a pas de notion logique mais uniquement graphique.

Exemple : Pour la catégorie "Contacts professionnel" on peut rassembler les attributs : adresse mail professionnelle, téléphone fixe professionnel, téléphone portable professionnel, adresse professionnelle ... L'ensemble des attributs d'une même catégorie sont affichés dans le même cadre sur la fiche de la personne.

Enumérations

Représente un champ pour lequel seules des valeurs prédéfinies sont acceptées, typiquement des listes déroulantes. Les valeurs des énumérations peuvent être enregistrées dans Hpliance ou par alimentation amont.

Exemple : Liste des métiers.

Règle d'habiliitation

Une règle associe des droits applicatifs à des personnes de Hpliance, par l'intermédiaire de leurs attributs et leur appartenance à une structure.

Exemple : On associe à toutes les personnes du service comptabilité le droit "Accès à l'application de comptabilité" et le droit "Accès à l'application de facturation".

Profil d'administration

Définit un ensemble de droits en consultation, modification et suppression sur les fonctionnalités d'Hpliance. Le profil d'administration peut être limité dans son périmètre par la portée de permission.  (par exemple : type de personne, affectation, métier)

Exemple : Le profil "Responsable RH" donne le droit de consulter les fiches de toutes les personnes, mais ne permet de modifier que les personnes internes. Le profil "Chef de service" peut modifier la fiche des personnes de son service, mais n'a pas accès à certaines informations personnelles.

Portée de permission

Dans la définition des profils d'administration, une portée est un ensemble de conditions permettant de réduire le périmètre d'une action. Une condition concerne toujours l'objet sur lequel porte l'action.

Exemple : Dans le profil "Gestionnaire des externes", l'action "Créer des personnes", est limitée par la condition sur la personne. Un gestionnaire des externes ne peut créer que des personnes de type "Externe".

Provisioning

Le Provisioning est l'action qui consiste à créer, modifier, supprimer les comptes utilisateur et les droits associés aux comptes dans les applications cibles.

Structures

Une structure est la représentation, sous forme d'arbre, d'une forme d'organisation de l'entreprise à modéliser.

• Arbre : Représentation logique et graphique de l'entreprise. (Ex : Arbre géographique, Arbre organisationnel)
• Structure : Représente un nœud de l'arbre. Peut contenir d'autres structures ou pas.

Exemple : La structure organisationnelle "Pôle" contient des structures "Service", qui contient des structures "Unités fonctionnelles".

Les concepts d’Hpliance

Gestion des identités

L'objet Personne :

L'objet « personne » est la représentation d'une identité intervenant physiquement au sein de l'entreprise. Une personne est définie au sein d'Hpliance par un « type de personne » et un ensemble d'attributs qui caractérise ses informations personnelles, professionnelles ou applicatifs. La solution permet de créer autant de type de personnes que le système d'information doit gérer. Il est ainsi possible de gérer les internes, les prestataires, les stagiaires, etc.

L'objet Structure :

L'objet « structure » est la représentation d'une branche de l'organisation de l'entreprise. Une structure est caractérisée par un « type de structure » et appartient à un « arbre » de structures, arborescence d'un ensemble de structures hiérarchisées. Il est ainsi possible de gérer selon le besoin différents arbres : organisationnel, géographique, fonctionnel, etc. Un type de structure est la représentation d'un type de « nœud » ou « feuille » récurent dans l'arbre, i.e. : services, département, unité fonctionnelle, centre de responsabilité, pôle, établissement, etc.

L'objet Enumération :

L'objet « énumération » est un type d'attribut de personne particulier contenant une liste finie de valeurs, i.e. : énumération regroupant tous les métiers ou toutes les fonctions qu'une personne peut occuper dans l'entreprise. Ce type d'objet est primordial dans la solution Hpliance puisqu'il permet de filtrer une population particulière au sein d'une structure pour l'attribution de règles d'habilitation.

Gestions des habilitations

Le modèle OrBAC :

OrBAC : Organization-Based Access Control, Contrôle d'accès basé sur l'organisation, est le modèle d'attribution des accès applicatifs sur lequel Hpliance se base pour affecter de manière automatique les droits aux personnes. Hpliance permet de définir des règles d'habilitations qui se basent sur ce modèle afin de déterminer les droits à affecter aux personnes en fonction de :

• Leur rôle (fonction, métier, spécialité, etc.) représenté par une ou plusieurs énumérations.
• Leur appartenance à une branche dans l'organisation, représentée par une structure.

L'idée est de répondre à la question : « Qui doit avoir quel(s) droit(s) en fonction de quel(s) critère(s) ? ».

Les règles d'habilitation :

Une règle d'habilitation (anciennement nommé "KAD") est l'objet dans Hpliance qui permet d'attribuer un ou plusieurs droits applicatifs à une population de personnes en fonction de leur rattachement à des structures et de leur rôle dans l'organisation. C'est l'objet représentant le modèle OrBAC dans Hpliance. Une règle est caractérisée par son positionnement sur une ou plusieurs structures de l'organisation et par les filtres (métier, fonction, etc.) qui permettent de sélectionner la population cible impactée au sein de la structure et ses sous structures. De par le modèle OrBAC et la représentation de l'organisation sous forme arborescente, une règle peut être automatiquement propagée aux sous-structures de la structure à laquelle elle est rattachée. On parle alors d'héritage de règles.

Les Référentiels :

Un « référentiel » est l'objet dans Hpliance qui représente la base cible où les comptes et droits applicatifs doivent être provisionnés. La base peut correspondre à un annuaire LDAP, un Active Directory, une instance Active Directory Lightweight Directory Services, une base relationnelle (SGBD), un fichier plat, etc.

Les comptes applicatifs :

Un « compte » est l'objet dans Hpliance correspondant au login et mot de passe associés à une personne pour une application donnée. Il est caractérisé par un identifiant, un mot de passe et un type de compte, i.e. : type de compte pour administrateur, pour développeur, pour utilisateur, etc. Chaque type de compte possède une politique de login et une politique de mot de passe qui lui sont propres : i.e. : la politique de mot de passe des comptes de type administrateur doit être composée d'au moins 12 caractères alors que celle des utilisateurs de 8 caractères.

Les droits applicatifs :

Un « droit » est l'objet dans Hpliance représentant une habilitation particulière dans une application cible. Un droit peut être associé à une personne de deux manières :

• Discrétionnaire : affectation manuelle par un utilisateur ou Workflow avec la possibilité de définir une période de validité du droit (date de début et date de fin du droit).
• Automatique : affectation du droit par règle si la personne correspond aux filtres de la règle c'est à dire possède les énumérations de la règle et est rattachée à la structure ou à une sous-structure à laquelle la règle est rattachée ou héritée.

Gestion des ressources

L'objet Ressource :

Une « ressource » est un objet Hpliance représentant un objet physique, virtuel, etc., qui peut être associé à une personne ou une structure, i.e. : ressource téléphone, imprimante, etc. Une ressource est caractérisée par un type de ressource et un ensemble d'informations sous forme d'attributs (à l'instar des personnes). Hpliance permet de centraliser l'inventaire de ces ressources.

Workflows

Les Workflows :

Un « Workflow » est un objet Hpliance permettant de modéliser un processus enchaînant des tâches à exécuter en fonction d'évènements (initiés par une personne ou par le système) et de conditions.

Un Workflow Hpliance peut être de type :

• Demande utilisateur : demande réalisée depuis l'IHM dans Hpliance. Le Workflow est initié par l'utilisateur lui-même.
• Evénementiel : déclenchement d'un Workflow suite à un événement déclenché par le système ou un utilisateur, i.e. : arrivée d'une nouvelle personne, mutation de personne, attribution de droit, etc.
• Périodique : déclenchement d'un Workflow à intervalle de temps défini, i.e. : envoi d'une notification avec rapport en pièce jointe chaque jour à 8 h00.
• Par anticipation ou différé : déclenchement d'un Workflow avant ou après une date de la fiche personne plus ou moins un delta, i.e. : envoi d'une notification 5 jours avant la fin de contrat d'une personne.

Les étapes :

Un Workflow est composé « d'étapes » séquentielles pouvant être exécutées ou outrepassées. Elles-mêmes sont composées « d'actions » qui sont les tâches à exécuter à proprement dit.

Les actions :

Les actions sont les opérations à réaliser par le moteur de workflow au sein d'une étape d'un Workflow.

Elles peuvent être de type :

• Notification : envoi de mail.
• Exécution de process (batch, power Shell, Exe, etc.).
• Ajout de droit à une ou plusieurs personnes (cibles).
• Suppression de droit à une ou plusieurs personnes (cibles).
• Modification d'informations de personne(s) (cibles).
• Suppression de personne.

Les tâches :

Les tâches sont des opérations à réaliser par un des opérateurs (Acteur) au sein d'une étape d'un Workflow. Elles impliquent une confirmation par un opérateur autorisé.

Elles peuvent être de type :

• Générique
• Validation
• Affectation de ressource(s)
• Provisioning manuel
• Déprovisioning manuel

Profils d'administration

Un « profil d'administration » est un objet Hpliance permettant de définir des privilèges sur la solution Hpliance qui seront affectés à des personnes. Sans profil d'administration une personne ne peut pas accéder à Hpliance. Il est possible d'attribuer des profils d'administration à des personnes afin qu'ils puissent réaliser des tâches spécifiques sur Hpliance.

Audits / rapports

Un « rapport » est un objet Hpliance permettant de proposer des tableaux de bords, statiques ou dynamiques, permettant d'extraire toute information stockée dans l'annuaire d'identité et d'habilitation Hpliance (Base de Données Hpliance). Les rapports peuvent porter sur les personnes, leurs accès, les ressources associés, etc. et se présentent sous forme de tableau et/ou graphique.