virtu-desk VIRTU-DESK - Technologies de virtualisation et sécurisation de l'environnement utilisateurs.

Systancia Identity

Gestion des identités et des habilitations

Systancia ldentity est une solution de gouvernance et d'administration d'identités développée par Systancia. Elle permet de gérer les identités, leurs structures d'appartenance {organisations), leurs habilitations, et éventuellement leurs ressources {dotations). Son module de Workflow permet de gérer une multitude de cas d'usages :flux de personnes, processus, demande d'habilitation/de ressources... elle est fournie avec un moteur de synchronisation agile qui s'intègre facilement à vos référentiels amont et aval. Elle offre également les fonctionnalités de certification de droits et séparation des droits à privilège {SoD) tout en permettant une traçabilité et une visibilité sur les actions réalisées grâce à son module d'audit et reporting.

La solution au bénéfice rapide

Systancia ldentity offre une modélisation de règles d'habilitations puissante, inspirée de l'approche dite « orBAC » basée sur la structure organisationnelle. Le produit permet ainsi au chef de projet de structurer et de suivre son projet IAM avec un socle initial rapidement opérationnel et durable et une approche incrémentale pour l'embarquement des applications qui ne remet pas en cause le socle initial.

Pack multi-organisations

Mise à disposition des fonctionnalités de multi-entités, gestion des contrats multiples, réconciliation d'identités,  « identitovigilance », fusion des comptes pour répondre aux problématiques associées à ce type de contexte.

Le produit permet à un responsable d'entité de mutualiser son infrastructure avec d'autres tout en conservant sa spécificité. Notamment avec la délégation d'administration, chaque entité peut de manière autonome gérer ses identités et ses habilitations, tout en partageant le même référentiel.

En tant que RSSI vous conservez la maitrise globale de la stratégie de sécurité aussi bien intra qu'inter organisation grâce à la souplesse du modèle conceptuel des règles d'habilitations.

Support de tout type d'application

Un moteur de synchronisation entièrement paramétrable et qui permet l'interconnexion à des référentiels amonts et avals. Ne conservant aucun état {« stateless »), il offre les plus grandes élasticité et disponibilité, et garantit des transactions de mises à jour unitaires. Il autorise une synchronisation totale ou partielle et s'appuie sur la notion de différentiel.

L'intégrité des données est assurée même si des modifications sont réalisées directement dans les référentiels, tout en optimisant les temps de synchronisation.

Fonctionnalités

Le produit Systancia Identity est proposé avec deux interfaces de gestion.

  1. Une interface pour la préparation de la solution avec la personnalisation des objets (personnes, ressources, structures…) à votre contexte, et
  2. Une interface pour l’utilisation et les opérations quotidiennes.

Les domaines fonctionnels couverts sont les suivants :

  1. Gestion du cycle de vie des identités
  2. Gestion des droits et des habilitations
  3. Provisioning
  4. Certification des droits et séparation des comptes à privilège
  5. Workflows
  6. Audits et rapports

1 - Gestion du cycle de vie des identités

Ce module intègre les objets suivants :

  • Identités
  • Ressources
  • Structures

Identités

Chaque identité est associée dans Systancia Identity à un type de personne. La solution permet de définir différentes populations de personnes (internes, externes, prestataires, partenaires, …) pour gérer, pour chaque type de personne, les informations adéquates liées à ce type.

Ressources

La solution permet de gérer les dotations ou ressources. Par dotation ou ressources, on entend tous les objets donnés à l’utilisateur (smartphone, ordinateur portable, tablette, voiture, blouse, carte d’accès, place de parking, …).

Structures

Il est possible avec Systancia Identity de gérer plusieurs types de structures (arbres) de natures différentes. Les structures peuvent être organisationnelles, géographiques, par projet. Pour chaque arbre, il est possible de :

  • Choisir si les structures sont alimentées ou gérées directement dans la solution
  • Gérer des attributs dans chaque type de structure (fiche structure). Ces attributs peuvent être alimentés en amont, modifiés manuellement ou calculés.

Réconciliation des identités

Dans le cadre multi-organisations (regroupement d’organisations différentes), l’alimentation amont est potentiellement réalisée depuis plusieurs référentiels amont RH (un référentiel par organisation). Une personne peut avoir plusieurs contrats avec des entités différentes. De fait, cela correspondra à plusieurs identités dans Systancia Identity. Le module de réconciliation des identités va permettre de fusionner les identités qui correspondent à la même personne.

2 - Gestion des droits et des habilitations

Le modèle d’habilitation

Le modèle d’habilitations est basé sur un ensemble de règles qui permettent de définir quelles personnes (en fonction d’une liste de critères paramétrables, issus de leur identité - grades, métiers, fonctions, …, de leurs contrats ou d’un contexte) ont quels droits. Une règle relie ainsi un profil de personne, défini par un filtre sur critères, à des droits dans des applications.

Les règles sont ensuite liées à des structures (organisations), en précisant pour chaque lien si la règle est héritée par les sous-structures.

Le modèle de règles de Systancia Identity est inspiré de l’approche dite « orBAC » basée sur la structure organisationnelle. Elle offre beaucoup de souplesse dans la mise en œuvre du modèle d’habilitations et la structuration du projet. L’ajout d’une nouvelle application ne remet pas en question les règles d’habilitations déjà mises en œuvre, mais consiste uniquement à définir de nouvelles règles d’habilitations pour les nouvelles applications.

Groupes d’habilitations

Les habilitations peuvent être groupées pour permettre une affectation plus simple d’un ensemble d’habilitations. Un groupe d’habilitations peut être affecté via une règle d’habilitations ou de manière discrétionnaire à une identité.

Gestion du contexte

Il est possible de définir des contextes d’application des règles d’habilitations, pour pouvoir différentier les règles d’habilitations à appliquer selon le contexte. Par exemple, pour gérer une situation critique exigeant une application temporaire de droits spécifiques, on définira un contexte « plan d’urgence ».

Biseau

Lors d’un changement de poste, il est possible de définir une période de transition pendant laquelle les anciennes habilitations sont conservées et demeurent effectives. Cette conservation des anciennes habilitations (appelée biseau) permet de gérer une période temporaire où l’utilisateur muté conserve des activités dans son ancienne structure. De même, lorsqu’un utilisateur change de métier, grade, …, il est possible de définir un biseau lui permettant de conserver pendant une période donnée ses anciens droits.

Contrat

Les contrats permettent de gérer les spécificités du lien entre une identité et une structure (entité, organisation). Une personne peut avoir plusieurs contrats qui la lient à des structures (entités, organisations) différentes. Dans ces contrats, les informations métier (fonction, grade…) de la personne peuvent être différentes. Il permet de lier une personne à différentes entités. Il peut porter un nombre variable d’informations tels qu’un numéro de contrat, un nombre d’heures, une fonction, un grade, une date de validité, etc… et peut servir de base aux règles du modèle d’habilitations.

Dates de validité des habilitations

Pour toutes les habilitations affectées au travers des workflows ou de manière manuelle, ou par délégation, il est possible de définir des dates d’applications (dates de début et date de fin).

Délégation d’habilitations

Un utilisateur autorisé peut déléguer tout ou partie de ses habilitations dans Systancia Identity à un autre utilisateur. La délégation d’habilitations engendre la création d’un compte avec les habilitations équivalentes aux habilitations de l’utilisateur qui délègue son habilitation ou l’affectation d’habilitation si l’utilisateur recevant la délégation possède déjà un compte.

Gestion des comptes

La création d’une identité et de ses habilitations peut donner lieu à la création de comptes et à la configuration de droits dans les applications correspondantes selon les droits applicatifs configurés dans les règles d’habilitations. Systancia Identity permet de définir des « politiques de comptes » régissant la façon dont les comptes sont créés dans les applications. Pour une application et pour une personne donnée, il peut donc y avoir des comptes créés directement dans l’application et des comptes créés pour cette personne dans cette application par Systancia Identity.

3 - Provisioning

Systancia Identity est fourni avec un moteur dit de « Provisioning ». C’est le même moteur de Provisioning qui réalise l’alimentation amont du référentiel des identités de Systancia Identity et le Provisioning aval des référentiels des applications cibles.

Alimentation amont

C’est l’opération de peuplement de Systancia Identity avec les informations extraites des applications ou référentiels sources (RH, annuaire téléphonique, etc.).

Provisioning aval

C’est l’opération de création, mise à jour ou suppression des comptes des utilisateurs dans les applications cibles ou leurs référentiels, à partir des informations de Systancia Identity. Un connecteur de Provisioning est associé à un connecteur de remontée d’états qui permet de valider la cohérence entre l’existant (application ou référentiel cible) et Systancia Identity.

4 - Certification et Séparation des pouvoirs (SoD)

Certification et re-certification

La certification permet à une personne habilitée de vérifier les habilitations d’une ou plusieurs personnes et éventuellement de bloquer des habilitations qui seraient inadéquates. La certification peut être gérée au travers de campagnes de certification pendant lesquelles on demande à une personne habilitée de vérifier les habilitations d’un ensemble d’employés. Le produit offre la possibilité de réaliser des micro-campagnes de certification.

Séparation des pouvoirs (SoD)

La ségrégation des habilitations ou séparation des pouvoirs (SOD – Segregation of Duties) est un contrôle interne, imposé aux entreprises, conçu pour prévenir les erreurs et les fraudes, en veillant à ce qu’au moins deux personnes soient responsables des parties séparées de toute tâche.

5 - Workflows

Systancia Identity offre un module permettant d’orchestrer des tâches pour activer des fonctions telles que les validations d’accès, les notifications, les escalades et l’intégration avec d'autres processus métier. C’est le module « Workflows ». La solution permet la configuration de quatre (4) types de workflow :

  • Les workflows événementiels
  • Les workflows de demande d’habilitations ou de ressources
  • Les workflows périodiques
  • Les workflows à déclenchement différé

Les workflows événementiels

Les objets gérés dans Systancia Identity évoluent, les identités sont créées, modifiées puis désactivées ou supprimées. Il en va de même pour les structures et les habilitations. Tous les événements liés à ces objets permettent de déclencher des workflows.

Exemples typiques d’évènements déclencheurs :

  • Création de personnes
  • Modification de personnes
  • Suppression de personne
  • Mutation de personne
  • Ajout de droits
  • Retrait de droits
  • Affectation de ressource
  • Création de structure

Les workflows de demande d’habilitations ou de ressources

Ces workflows pourront être démarrés par les utilisateurs ou des personnes autorisées. Ils permettent à un utilisateur autorisé d’effectuer une demande pour lui-même ou pour une autre personne. La liste des utilisateurs autorisés à déclencher un workflow de demande d’habilitations ainsi que la liste des identités pour laquelle ils peuvent le déclencher et la liste des habilitations susceptibles d’être proposées sont entièrement configurables.

Les workflows périodiques

Les workflows périodiques peuvent être exécutés à intervalles réguliers, par exemple toutes les semaines pour l’envoi de rapports.

Les workflows à déclenchement différé

Les workflows à déclenchement différé peuvent être exécutés n jours avant ou après une date donnée. Par exemple, il sera possible de démarrer un workflow 15 jours avant la date de départ de l’utilisateur dans le cadre de la gestion de départ anticipé.

6 - Audits et Rapports

Audits

Toutes les opérations réalisées dans Systancia Identity (création de personnes, modification d’attributs, affectation d’habilitations, validation de workflow, …) sont conservées dans la base de données de Systancia Identity. La solution permet, en fonction du profil de l’utilisateur, de visualiser pour un utilisateur donné les informations suivantes :

  • Actions réalisées sur l’utilisateur
  • Actions réalisées par l’utilisateur

Rapports

Systancia Identity fournit un moteur de rapports entièrement configurable. Il est possible de générer des rapports sous forme de liste ou de graphe et ces rapports peuvent être paramétrables. L’utilisateur peut spécifier au moment de l’exécution du rapport pour quelle identité il souhaite l’exécuter. Les rapports peuvent se baser sur l’ensemble des données stockées dans la solution ou sur les audits. Ces rapports sont exportables au format PDF et peuvent être transmis directement par mail, notamment dans le cadre d’un Workflow périodique.

Pourquoi choisir Systancia ldentity

Les bénéfices de Systancia Cleanroom sont les suivants (la liste n’est pas exhaustive) :

  • Obtention rapide de résultats tangibles
  • Un des meilleurs TCO (coût total d'exploitation) du marché
  • Flexibilité de paramétrage et de personnalisation du produit ; produit utilisable directement et facilement par tous les acteurs
  • Couverture de presque tous les droits d'accès dans la plupart des applications
  • Application de la politique de sécurité de l'entreprise supportée par un produit
  • Réduction des risques d'intrusions d'accès ou de fuites de données, protection de la propriété intellectuelle
  • Protection des données personnelles et gestion avancée de permissions dans le produit lui-même
  • Coût marginal de la conformité réglementaire (« compliance inside »)
  • Efficacité opérationnelle lors de l'arrivée, la mutation ou le départ d'un collaborateur
  • Elimination de la bureaucratie et productivité accrue grâce à l'automatisation des processus
  • Optimisation et traçabilité des situations délicates (biseau, périodes d'absence, délégations de droits, etc.)
  • Choix de l'option de déploiement (ou de consommation) : produit logiciel, service cloud public, service cloud privé
  • Intégration native avec le produit Systancia Access, synchronisation permanente avec la solution de gestion des accès : garantie de l'application « dans le réel » des droits définis
  • Combinaison facile avec des solutions complémentaires en amont : gouvernance et analyse des identités et des habilitations (entitlement analytics, role mining), IT Service Management (ITSM), et en aval (Security Information and Event Management - SIEM), supervision d'exploitation.

Options de déploiement

Découvrez Systancia Identity sur le site officiel de l'éditeur.

Vous devez être connecté pour poster un commentaire