Le produit Systancia Identity est proposé avec deux interfaces de gestion.
- Une interface pour la préparation de la solution avec la personnalisation des objets (personnes, ressources, structures…) à votre contexte, et
- Une interface pour l’utilisation et les opérations quotidiennes.
Les domaines fonctionnels couverts sont les suivants :
- Gestion du cycle de vie des identités
- Gestion des droits et des habilitations
- Provisioning
- Certification des droits et séparation des comptes à privilège
- Workflows
- Audits et rapports
1 - Gestion du cycle de vie des identités
Ce module intègre les objets suivants :
- Identités
- Ressources
- Structures
Identités
Chaque identité est associée dans Systancia Identity à un type de personne. La solution permet de définir différentes populations de personnes (internes, externes, prestataires, partenaires, …) pour gérer, pour chaque type de personne, les informations adéquates liées à ce type.
Ressources
La solution permet de gérer les dotations ou ressources. Par dotation ou ressources, on entend tous les objets donnés à l’utilisateur (smartphone, ordinateur portable, tablette, voiture, blouse, carte d’accès, place de parking, …).
Structures
Il est possible avec Systancia Identity de gérer plusieurs types de structures (arbres) de natures différentes. Les structures peuvent être organisationnelles, géographiques, par projet. Pour chaque arbre, il est possible de :
- Choisir si les structures sont alimentées ou gérées directement dans la solution
- Gérer des attributs dans chaque type de structure (fiche structure). Ces attributs peuvent être alimentés en amont, modifiés manuellement ou calculés.
Réconciliation des identités
Dans le cadre multi-organisations (regroupement d’organisations différentes), l’alimentation amont est potentiellement réalisée depuis plusieurs référentiels amont RH (un référentiel par organisation). Une personne peut avoir plusieurs contrats avec des entités différentes. De fait, cela correspondra à plusieurs identités dans Systancia Identity. Le module de réconciliation des identités va permettre de fusionner les identités qui correspondent à la même personne.
2 - Gestion des droits et des habilitations
Le modèle d’habilitation
Le modèle d’habilitations est basé sur un ensemble de règles qui permettent de définir quelles personnes (en fonction d’une liste de critères paramétrables, issus de leur identité - grades, métiers, fonctions, …, de leurs contrats ou d’un contexte) ont quels droits. Une règle relie ainsi un profil de personne, défini par un filtre sur critères, à des droits dans des applications.
Les règles sont ensuite liées à des structures (organisations), en précisant pour chaque lien si la règle est héritée par les sous-structures.
Le modèle de règles de Systancia Identity est inspiré de l’approche dite « orBAC » basée sur la structure organisationnelle. Elle offre beaucoup de souplesse dans la mise en œuvre du modèle d’habilitations et la structuration du projet. L’ajout d’une nouvelle application ne remet pas en question les règles d’habilitations déjà mises en œuvre, mais consiste uniquement à définir de nouvelles règles d’habilitations pour les nouvelles applications.
Groupes d’habilitations
Les habilitations peuvent être groupées pour permettre une affectation plus simple d’un ensemble d’habilitations. Un groupe d’habilitations peut être affecté via une règle d’habilitations ou de manière discrétionnaire à une identité.
Gestion du contexte
Il est possible de définir des contextes d’application des règles d’habilitations, pour pouvoir différentier les règles d’habilitations à appliquer selon le contexte. Par exemple, pour gérer une situation critique exigeant une application temporaire de droits spécifiques, on définira un contexte « plan d’urgence ».
Biseau
Lors d’un changement de poste, il est possible de définir une période de transition pendant laquelle les anciennes habilitations sont conservées et demeurent effectives. Cette conservation des anciennes habilitations (appelée biseau) permet de gérer une période temporaire où l’utilisateur muté conserve des activités dans son ancienne structure. De même, lorsqu’un utilisateur change de métier, grade, …, il est possible de définir un biseau lui permettant de conserver pendant une période donnée ses anciens droits.
Contrat
Les contrats permettent de gérer les spécificités du lien entre une identité et une structure (entité, organisation). Une personne peut avoir plusieurs contrats qui la lient à des structures (entités, organisations) différentes. Dans ces contrats, les informations métier (fonction, grade…) de la personne peuvent être différentes. Il permet de lier une personne à différentes entités. Il peut porter un nombre variable d’informations tels qu’un numéro de contrat, un nombre d’heures, une fonction, un grade, une date de validité, etc… et peut servir de base aux règles du modèle d’habilitations.
Dates de validité des habilitations
Pour toutes les habilitations affectées au travers des workflows ou de manière manuelle, ou par délégation, il est possible de définir des dates d’applications (dates de début et date de fin).
Délégation d’habilitations
Un utilisateur autorisé peut déléguer tout ou partie de ses habilitations dans Systancia Identity à un autre utilisateur. La délégation d’habilitations engendre la création d’un compte avec les habilitations équivalentes aux habilitations de l’utilisateur qui délègue son habilitation ou l’affectation d’habilitation si l’utilisateur recevant la délégation possède déjà un compte.
Gestion des comptes
La création d’une identité et de ses habilitations peut donner lieu à la création de comptes et à la configuration de droits dans les applications correspondantes selon les droits applicatifs configurés dans les règles d’habilitations. Systancia Identity permet de définir des « politiques de comptes » régissant la façon dont les comptes sont créés dans les applications. Pour une application et pour une personne donnée, il peut donc y avoir des comptes créés directement dans l’application et des comptes créés pour cette personne dans cette application par Systancia Identity.
3 - Provisioning
Systancia Identity est fourni avec un moteur dit de « Provisioning ». C’est le même moteur de Provisioning qui réalise l’alimentation amont du référentiel des identités de Systancia Identity et le Provisioning aval des référentiels des applications cibles.
Alimentation amont
C’est l’opération de peuplement de Systancia Identity avec les informations extraites des applications ou référentiels sources (RH, annuaire téléphonique, etc.).
Provisioning aval
C’est l’opération de création, mise à jour ou suppression des comptes des utilisateurs dans les applications cibles ou leurs référentiels, à partir des informations de Systancia Identity. Un connecteur de Provisioning est associé à un connecteur de remontée d’états qui permet de valider la cohérence entre l’existant (application ou référentiel cible) et Systancia Identity.
4 - Certification et Séparation des pouvoirs (SoD)
Certification et re-certification
La certification permet à une personne habilitée de vérifier les habilitations d’une ou plusieurs personnes et éventuellement de bloquer des habilitations qui seraient inadéquates. La certification peut être gérée au travers de campagnes de certification pendant lesquelles on demande à une personne habilitée de vérifier les habilitations d’un ensemble d’employés. Le produit offre la possibilité de réaliser des micro-campagnes de certification.
Séparation des pouvoirs (SoD)
La ségrégation des habilitations ou séparation des pouvoirs (SOD – Segregation of Duties) est un contrôle interne, imposé aux entreprises, conçu pour prévenir les erreurs et les fraudes, en veillant à ce qu’au moins deux personnes soient responsables des parties séparées de toute tâche.
5 - Workflows
Systancia Identity offre un module permettant d’orchestrer des tâches pour activer des fonctions telles que les validations d’accès, les notifications, les escalades et l’intégration avec d'autres processus métier. C’est le module « Workflows ». La solution permet la configuration de quatre (4) types de workflow :
- Les workflows événementiels
- Les workflows de demande d’habilitations ou de ressources
- Les workflows périodiques
- Les workflows à déclenchement différé
Les workflows événementiels
Les objets gérés dans Systancia Identity évoluent, les identités sont créées, modifiées puis désactivées ou supprimées. Il en va de même pour les structures et les habilitations. Tous les événements liés à ces objets permettent de déclencher des workflows.
Exemples typiques d’évènements déclencheurs :
- Création de personnes
- Modification de personnes
- Suppression de personne
- Mutation de personne
- Ajout de droits
- Retrait de droits
- Affectation de ressource
- Création de structure
Les workflows de demande d’habilitations ou de ressources
Ces workflows pourront être démarrés par les utilisateurs ou des personnes autorisées. Ils permettent à un utilisateur autorisé d’effectuer une demande pour lui-même ou pour une autre personne. La liste des utilisateurs autorisés à déclencher un workflow de demande d’habilitations ainsi que la liste des identités pour laquelle ils peuvent le déclencher et la liste des habilitations susceptibles d’être proposées sont entièrement configurables.
Les workflows périodiques
Les workflows périodiques peuvent être exécutés à intervalles réguliers, par exemple toutes les semaines pour l’envoi de rapports.
Les workflows à déclenchement différé
Les workflows à déclenchement différé peuvent être exécutés n jours avant ou après une date donnée. Par exemple, il sera possible de démarrer un workflow 15 jours avant la date de départ de l’utilisateur dans le cadre de la gestion de départ anticipé.
6 - Audits et Rapports
Audits
Toutes les opérations réalisées dans Systancia Identity (création de personnes, modification d’attributs, affectation d’habilitations, validation de workflow, …) sont conservées dans la base de données de Systancia Identity. La solution permet, en fonction du profil de l’utilisateur, de visualiser pour un utilisateur donné les informations suivantes :
- Actions réalisées sur l’utilisateur
- Actions réalisées par l’utilisateur
Rapports
Systancia Identity fournit un moteur de rapports entièrement configurable. Il est possible de générer des rapports sous forme de liste ou de graphe et ces rapports peuvent être paramétrables. L’utilisateur peut spécifier au moment de l’exécution du rapport pour quelle identité il souhaite l’exécuter. Les rapports peuvent se baser sur l’ensemble des données stockées dans la solution ou sur les audits. Ces rapports sont exportables au format PDF et peuvent être transmis directement par mail, notamment dans le cadre d’un Workflow périodique.