Déjà pour commencer qu’est-ce que la gestion des identités ?
Pour reprendre une définition complète :
« La Gestion des Identités et des Accès (IAM) est un terme générique désignant les processus internes d’une entreprise permettant d’administrer et de gérer les comptes utilisateurs et les ressources du réseau de l’entreprise, y compris les droits d’accès des utilisateurs aux applications et aux systèmes. La gestion des identités et des accès inclut les fonctionnalités permettant de gérer l’identité d’un utilisateur dans le réseau. Il s’agit principalement d’authentifier les utilisateurs sur le réseau et de pouvoir assurer la traçabilité des droits demandés par l’utilisateur sur le réseau, on fait ici référence aux autorisations. » (https://www.tools4ever.fr/qu-est-ce-que-la-gestion-des-identites-et-des-acces)
Pour faire simple cela consiste donc en la gestion des comptes utilisateurs et des accès aux ressources (fichiers, imprimantes, applications, etc…) dans l’Entreprise.
Une gestion saine des identités est essentielle pour la sécurité du système d’information :
- Éviter les accès de collaborateurs sur des ressources, on pense principalement à des données RH, paie ou direction sensibles pouvant ‘lever des bâches bleues’.
- Arrêter les accès de collaborateurs ayant quitté l’Entreprise, surtout dans le cas de conflits.
On rencontre pour cela deux problématiques :
1 – Pour la DSI d’arriver à créer, mais surtout à supprimer / désactiver les permissions lors des changements de service ou départ de collaborateurs.
En effet les services ou la RH émettent des demandes d’ajout de permissions mais rarement des demandes de suppression de ces mêmes permissions. Entrainant progressivement des dérives pouvant générer de graves dysfonctionnements.
Il serait donc nécessaire que la DSI soit capable de présenter les droits et accès effectifs aux services pour les responsabiliser. Voir même de permettre aux services de les gérer eux-mêmes.
On pourra aussi intégrer une automatisation entre les informations RH et le système de gestion des identités.
2 – Toujours pour la DSI, de normaliser la gestion des comptes et des groupes pour limiter les dérives
Eviter des permissions mal appliquées, groupes donnant plusieurs permissions et pouvant être mal interprétés.
Pour cela la seule solution sera de définir des normes de gestion prévoyant tous les cas :
- Format des noms, login, email, etc…
- Liste des informations utilisées (champs Active Directory correspondants)
- Cas des utilisateurs ayant le même nom
- Cas des prénoms et noms composés
- Nomenclature des groupes d’habilitation (un groupe par usage pour un meilleur suivi)
- Règles de décommission et suppression des accès
- Etc…
Et surtout la mise en œuvre d’automatisation et de contrôle pour renforcer ces règles. L’automatisation étant essentielle dans un projet de gestion des identités réussi.
Microsoft ne propose pas de solution concrète pour gérer ces problématique (hormis manuellement). On trouve évidemment des produits Tiers comme Ilex ou ManageEngine mais qui sont souvent onéreux ou non adaptables à certains besoins et workflow spécifiques.
Il est toutefois possible depuis Windows 2008R2 de développer ces propres solutions / workflow à l’aide du Powershell.
Tous les administrateurs Microsoft devraient donc maintenant se mettre sérieusement au PowerShell. Pour les autres nous proposons une solution développée en local nommée « GDI » 🙂
sfc.nc 