De nos jours la gestion des identités dépasse largement son cadre initial.
Aujourd’hui on a besoin de process intégrant les base métiers RH, des processus de création de comptes, groupes, délégation de gestion et approvisionnement d’autres annuaires et autres applicatifs qui ne peuvent pas se connecter à une gestion des identités
Cette conférence basé sur des exemples réels et détailles va vous offrir un état de l’art et montrer quelles évolutions sont possibles dans le futur.
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour d'experience
1. Merci à tous nos partenaires !
27 octobre 2022 - PARIS
@IdentityDays #identitydays2022
2. Bâtir des workflow complexes de
gestion des identités en 2022 :
Évolution et retour d’expérience
Benoit - Mortier
27 octobre 2022 - PARIS
Identity Days 2022
Bâtir des workflow complexes de gestion des identités en 2022 : Évolution et retour d’expérience
3. Benoit Mortier
Fondateur et CEO de
FusionDirectory
Spécialiste de la gestion
des identités
• Présentation de la société FusionDirectory
• Automatiser le cycle de vie des identités
• FusionDirectory : Le Lego(tm)
de la gestion des identités
• Une API qui favorise l’extensibilité
• Un webservice REST pour s’intégrer
• Cas Concrets
• Le Futur : un workflow modulaire
• Références
AGENDA DE LA CONFÉRENCE
27 octobre 2022 - PARIS
Identity Days 2022
Bâtir des workflow complexes de gestion des identités en 2022 : Évolution et retour d’expérience
4. Présentation de la
société FusionDirectory
Identity Days 2022
27 octobre 2022 - PARIS
Bâtir des workflow complexes de gestion des identités en 2022 : Évolution et retour d’expérience
5. Présentation de la société FusionDirectory
Identity Days 2022
27 octobre 2022 - PARIS
● Éditeur de FusionDirectory
● Expert sur les logiciels Libres de gestion des identités
● Spécialisé dans la création de workflow complexes
● Expert Enseignement Supérieur et Recherche, SupAnn, PARTAGE,
Sinaps
● Service de support 1er
, 2ème, 3ème niveau
● Formation sur les logiciels libres de gestion des identités
Bâtir des workflow complexes de gestion des identités en 2022 : Évolution et retour d’expérience
6. Automatiser le cycle de
vie des identités
Identity Days 2022
27 octobre 2022 - PARIS
Bâtir des workflow complexes de gestion des identités en 2022 : Évolution et retour d’expérience
7. Des workflow complexes à simplifier
Identity Days 2022
27 octobre 2022 - PARIS
● La demande de données fiables et récentes est aujourd’hui un impératif
majeur
● Une simplification et automatisation des processus de données doit réduire le
travail et le nombre d’étapes nécessaires ainsi que le nombre d’applicatifs
intermédiaires
● Le nombre d’actions manuelles doit être limité pour éviter les erreurs
humaines
● De nombreux acteurs on besoin d’accéder à la gestion des identités pour
réaliser leur taches quotidiennes
Bâtir des workflow complexes de gestion des identités en 2022 : Évolution et retour d’expérience
8. De nombreuses sources de données
Identity Days 2022
27 octobre 2022 - PARIS
● Les sources de données sont souvent multiples et variés.
● Les base de données métiers contiennent l’ensemble des informations de
vérité pour construire le compte numérique d’un utilisateur.
● Le cycle de vie du compte numérique d’un utilisateur est intimement lié au
changements réalises dans les bases de données métiers.
● L’on doit aussi intégrer les comptes numériques d’utilisateur externes mais
non présent dans les bases de données métiers
● Il est important que chaque donnée utilisé dans la création d’un compte
numérique vienne d’un source de vérité, acte administratif, contrat
Bâtir des workflow complexes de gestion des identités en 2022 : Évolution et retour d’expérience
9. La bonne gestion du cycle de vie
Identity Days 2022
27 octobre 2022 - PARIS
● La création et la mise a jour des comptes est globalement bien géré
● La désactivation est souvent mal conçue et dépend d’action semi-manuelle
● La désactivation ne prend généralement pas en compte les différents actions
nécessaire comme
● Archivage du home
● Désactivation et archivage de la boite de messagerie
● Assurance que tout les droits on bien été enlevés dans les applications
externes non lapidifiés
● Archivage du compte numérique au regard de la RGPD
● Archivage du compte numérique au regard de la nom réutilisation de
certaines données sensible, email, uid, samAccountName etc...
Bâtir des workflow complexes de gestion des identités en 2022 : Évolution et retour d’expérience
10. FusionDirectory : Le Lego(tm)
de
la gestion des identités
Identity Days 2022
27 octobre 2022 - PARIS
Bâtir des workflow complexes de gestion des identités en 2022 : Évolution et retour d’expérience
11. FusionDirectory : Le Lego(tm) de la gestion des identités
Identity Days 2022
27 octobre 2022 - PARIS
Bâtir des workflow complexes de gestion des identités en 2022 : Évolution et retour d’expérience
● Gestion utilisateurs, groupes, rôles, courriel, dhcp, dns, cyrus, postfix
● Gestion des systèmes et des outils de déploiement FAI, OPSI
● Support complet SupAnn 2018, Sinaps Amue, PARTAGE de RENATER
● Contrôle d’accès fin pour délégation de tâches
● Modèles personnalisables pour l’approvisionnement des données
● Triggers sur action d’édition, modification, effacement, vérification
● Webservice REST
● Support CAS, LemonLDAP::NG, WebAuthn, Yubico
12. Utilisateurs, groupes, rôles
Identity Days 2022
27 octobre 2022 - PARIS
Bâtir des workflow complexes de gestion des identités en 2022 : Évolution et retour d’expérience
●
Création d'utilisateurs, de groupes et de rôles
●
Gestion de mot de passe standard ou basé sur ppolicy
●
Modèles utilisateur, création des utilisateurs pré-configurés
●
Importation et création en bloc avec prise en charge de modèles
●
Snapshots, restaure les entrées après modification
●
Copier coller pour la création facile de nouveaux utilisateurs, groupes
13. Modèles et macros
Identity Days 2022
27 octobre 2022 - PARIS
Bâtir des workflow complexes de gestion des identités en 2022 : Évolution et retour d’expérience
● Définissez précisément comment les attributs seront construits,
majuscules, minuscules, première lettre d'un attribut + 4 lettres d'un
autre attribut etc..
● Remplissez des attributs en fonction de la valeur d’autres attributs
● Générer des mots de passe aléatoires suivant un ensemble de règles
● Calculer la date et l'heure d'expiration du compte
● Et bien plus encore ...
14. Modèles et macros
Identity Days 2022
27 octobre 2022 - PARIS
Bâtir des workflow complexes de gestion des identités en 2022 : Évolution et retour d’expérience
15. Délégation : le système de contrôle d’accès
Identity Days 2022
27 octobre 2022 - PARIS
Bâtir des workflow complexes de gestion des identités en 2022 : Évolution et retour d’expérience
● Donner des droits sur le contenu de FusionDirectory à d'autres
utilisateurs que l'administrateur
● Cacher les données non accessibles en ne montrant à l’utilisateur que
ce qu’il est autorisé à voir
● Permettre à un chef de projet d'éditer les utilisateurs de son équipe.
● Avoir une vue en lecture seule
16. Délégation : Vue admin versus vue manager
Identity Days 2022
27 octobre 2022 - PARIS
Bâtir des workflow complexes de gestion des identités en 2022 : Évolution et retour d’expérience
17. Délégation : le système de de contrôle d’accès
Identity Days 2022
27 octobre 2022 - PARIS
Bâtir des workflow complexes de gestion des identités en 2022 : Évolution et retour d’expérience
18. Les triggers sont nos amis
Identity Days 2022
27 octobre 2022 - PARIS
Bâtir des workflow complexes de gestion des identités en 2022 : Évolution et retour d’expérience
● Il existe de nombreux cas où on désire déclencher des actions après la
création, la modification ou la vérification de données
● Dans le cas de FusionDirectory, une liberté totale est laissée en ce qui
concerne l’écriture des triggers
● Cela peut être utilisé pour appeler d’autres webservices ou déclencher
des processus de synchronisation avec d’autres applicatifs
Étape 2 :
Exécution des
triggers
Étape 1 :
Création du
compte
Étape 3 :
insertion dans
ActiveDirectory
19. Une API qui favorise
l’extensibilité
Identity Days 2022
27 octobre 2022 - PARIS
Bâtir des workflow complexes de gestion des identités en 2022 : Évolution et retour d’expérience
20. L’api de FusionDirectory : simplePlugin
Identity Days 2022
27 octobre 2022 - PARIS
Bâtir des workflow complexes de gestion des identités en 2022 : Évolution et retour d’expérience
Historiquement Gosa2
l’ancêtre de FusionDirectory n’avait pas d’api mais des fonctions
disparates, pas prévues pour évoluer et ne formait pas un ensemble complet.
Lors des réflexion autour de la naissance de FusionDirectory, la question d’une API propre
s’est imposé.
Parmi ses fonctionnalités les plus importantes on retrouve :
● Faciliter via une couche d’abstraction le stockage dans un annuaire LDAP
● Construire automatiquement l’interface graphique de manière simple et automatique
● Gérer automatiquement les acls de FusionDirectory sans écrire de code supplémentaire
● Fournir un ensemble d’attributs du plus simple au plus complexe pour simplifier l’écriture
de plugin gérant des données complexes
21. Possibilités offertes par les plugins
Identity Days 2022
27 octobre 2022 - PARIS
Bâtir des workflow complexes de gestion des identités en 2022 : Évolution et retour d’expérience
Les plugins permettent de formaliser et harmoniser les données stockés au sein de
FusionDirectory
● Ajouter un onglet à un type d’objet existant
● Ajouter un nouveau type d’objet et sa page de gestion
● Ajouter une méthode de messagerie
● Ajouter un nouveau type de service pour les serveurs
● Ajouter un format d’exportation
● Ajouter une section dans certains onglets spéciaux
Toutes ces données deviennent directement disponible à travers le webservice REST
22. Un webservice REST pour
s’intégrer
Identity Days 2022
27 octobre 2022 - PARIS
Bâtir des workflow complexes de gestion des identités en 2022 : Évolution et retour d’expérience
23. Le webservice REST
Identity Days 2022
27 octobre 2022 - PARIS
Bâtir des workflow complexes de gestion des identités en 2022 : Évolution et retour d’expérience
● Le webservice REST permet l’intégration de la gestion des identités avec
des applications tierces de manière plus fluide.
● L’utilisation des modèles permet de construire des process de
provisionnement qui valident les données.
● Le déclenchement des triggers permet des actions supplémentaires
24. La spécification OpenAPI
Identity Days 2022
27 octobre 2022 - PARIS
Bâtir des workflow complexes de gestion des identités en 2022 : Évolution et retour d’expérience
● Le webservice REST propose un fichier au format OpenAPI qui liste les
opérations disponibles
● Certains clients supportent directement ce format pour générer des
requêtes
● La documentation officielle est générée depuis ce fichier et disponible
sur https://rest-api.fusiondirectory.info
● Le fichier est disponible depuis votre installation, les champs sont
dynamiquement adapté pour refléter votre configuration :
● https://<hote>/fusiondirectory/rest.php/v1/openapi.json
25. Exemples d’appels au webservice
Identity Days 2022
27 octobre 2022 - PARIS
Bâtir des workflow complexes de gestion des identités en 2022 : Évolution et retour d’expérience
GET /objects/user?base=ou=branche,dc=example,dc=com
➔ { "uid=login,ou=people,dc=example,dc=com": "login" }
GET /objects/user/uid=login,ou=people,dc=example,dc=com/posixAccount/uidNumber
➔ 1012
PUT /objects/user/uid=login,ou=people,dc=example,dc=com/posixAccount/uidNumber
1000
➔ uid=login,ou=people,dc=example,dc=com
26. Exemples d’appels au webservice
Identity Days 2022
27 octobre 2022 - PARIS
Bâtir des workflow complexes de gestion des identités en 2022 : Évolution et retour d’expérience
GET /types/user/mailAccount
{ "sections": {
"main": {
"name": "Mail account",
"attrs": [
"mail",
"gosaMailServer",
"gosaMailQuota"
]
},
…
}
27. Cas Concrets
Identity Days 2022
27 octobre 2022 - PARIS
Bâtir des workflow complexes de gestion des identités en 2022 : Évolution et retour d’expérience
28. Identity Days 2022
27 octobre 2022 - PARIS
Bâtir des workflow complexes de gestion des identités en 2022 : Évolution et retour d’expérience
● Synchronisation des utilisateurs & Groupes de OpenLDAP vers Samba 4
● FusionDirectory est utilisé pour les créations / modifications / suppression d’utilisateurs et
de groupes
● FusionDirectory lance LSC grâce à ses triggers lors d’une création, modification d’un
utilisateur ou d’un groupe et propage les modifications vers Samba 4
29. Identity Days 2022
27 octobre 2022 - PARIS
Bâtir des workflow complexes de gestion des identités en 2022 : Évolution et retour d’expérience
Synchronisation d’utilisateurs et de groupes
Utilisateurs
Trigger
LDAP Synchronization Connector
S
30. Identity Days 2022
27 octobre 2022 - PARIS
Bâtir des workflow complexes de gestion des identités en 2022 : Évolution et retour d’expérience
● Utiliser les webservices de FusionDirectory et les modèles afin de provisionner les
utilisateurs par type dans toute leur complexité
● Propager les mots de passe dans 3 ActiveDirectory différents
● Créer les fiches de contact utilisateurs Office 365
31. Identity Days 2022
27 octobre 2022 - PARIS
Bâtir des workflow complexes de gestion des identités en 2022 : Évolution et retour d’expérience
Workflow de création d’identités numériques
Étudiants
Personnels
Webservice
Contrôle d’accès
Synchronisation mot de passe
Création d’utilisateurs
Création Fiche Office 365
32. Identity Days 2022
27 octobre 2022 - PARIS
Bâtir des workflow complexes de gestion des identités en 2022 : Évolution et retour d’expérience
● Utiliser les webservices de FusionDirectory et les modèles afin de provisionner les
utilisateurs par type dans toute leur complexité
● Utiliser les webservices de unicampus et FusionDirectory afin de propager les numéros
de badges lors de leur création
● Utiliser les webservices de FusionDirectory afin d’archiver les comptes en fonction des
statuts du cycle de vie
33. Identity Days 2022
27 octobre 2022 - PARIS
Bâtir des workflow complexes de gestion des identités en 2022 : Évolution et retour d’expérience
Workflow de création d’identités numériques
Étudiants
Vacataires
Groupes et Classes
Personnels
Synchro
Webservice Contrôle d’accès
Application des modèles
✔
Mail
✔
SupAnn
✔
SupAnn cycle de vie
✔
SupAnn carte multi services
34. Identity Days 2022
27 octobre 2022 - PARIS
Bâtir des workflow complexes de gestion des identités en 2022 : Évolution et retour d’expérience
Création de badges d’accès
Webservice
FusionDirectory
Contrôle d’accès
Insertion du numéro de série
du badge de l’utilisateur
✔
SupAnn carte multi services
unicampus
Webservice UNI
Envoi des informations du badge
unicampus
Webservice UNI
Dépôt de la photo du badge par
Un utilisateur des RH
35. Le Futur : Workflow Modulaire
Identity Days 2022
27 octobre 2022 - PARIS
Bâtir des workflow complexes de gestion des identités en 2022 : Évolution et retour d’expérience
36. Gérer des workflow sur mesure
Identity Days 2022
27 octobre 2022 - PARIS
Bâtir des workflow complexes de gestion des identités en 2022 : Évolution et retour d’expérience
La partie workflow depuis les base métiers et vers d’autres applications et bien couverte
fonctionnellement.
Mais la partie workflow interne a FusionDirectory est inexistante actuellement.
Il y a une demande croissante sur la possibilité d’agir de manière automatise sur des événements
en fonction des données présente dans la gestion des identités
● La désactivation automatique de certaines ressources en fonction de date de fin de validité
● L’approbation de compte crées automatiquement ou par une certaine catégorie de personnel
● De déclencher automatiquement les actions de gestion de compte (création, activation,
désactivation, suppression, …) en fonction de l’état de la ressource
37. Gérer des workflow sur mesure
Identity Days 2022
27 octobre 2022 - PARIS
Bâtir des workflow complexes de gestion des identités en 2022 : Évolution et retour d’expérience
Une premiere version de notre moteur de taches est en cours de réalisation avec le soutien de
TelecomSud Paris
● Un moteur générique de tache à été conçu
● FusionDirectory Orchestrator : Un ordonnancer muni d’endpoint REST
● FusionDirectory Integrator : Un série de libraire modulaire pour réaliser les opération de base
niveau
38. Gérer des workflow sur mesure
Identity Days 2022
27 octobre 2022 - PARIS
Bâtir des workflow complexes de gestion des identités en 2022 : Évolution et retour d’expérience
39. Gérer des workflow sur mesure
Identity Days 2022
27 octobre 2022 - PARIS
Bâtir des workflow complexes de gestion des identités en 2022 : Évolution et retour d’expérience
40. Références
Identity Days 2022
27 octobre 2022 - PARIS
Bâtir des workflow complexes de gestion des identités en 2022 : Évolution et retour d’expérience
● FusionDirectory : https://www.fusiondirectory.org/
● Support et Services : https://www.fusiondirectory.org/services/
● Abonnements : https://www.fusiondirectory.org/abonnements-fusiondirectory/
● Documentation : https://www.fusiondirectory.org/documentation/
● Forge logicielle : https://gitlab.fusiondirectory.org/
● Nos webinaires : https://app.livestorm.co/fusiondirectory