[PDF] Itinéraire dun système de gestion didentités numériques au sein d

View - Download Itinéraire dun système de gestion didentités numériques au sein d

Previous PDF

Next PDF

Itinéraire d'un système de gestion

d'identités numériques au sein d'un EPST Antoine GallavardinResponsable du Service Informatique du centre de Lyon-Villeurbanne

5 rue de la Doua

69100 Villeurbanne

Guillaume PerréalLead Developper

Pôle Informatique Scientifique

5 rue de la Doua

69100 Villeurbanne

Christophe MonrocqResponsable Pôle Gestion Décisionnel DSIN

1 rue Pierre-Gilles de Gennes

92761 Antony

Résumé

Fusion, migration, externalisation, changement de nom... Autant d'étapes dans la vie d'un établissement public scientifique et technique (EPST) et donc autant d'impacts sur le système d'information. Les systèmes de gestion des identités et des comptes sont évidemment concernés, car ils pilotent toutes les informations des utilisateurs, internes et externes, afin de leur assurer un service efficace (messagerie, accès aux applications). En 10 ans, Irstea a changé de nom, intégré la fédération RENATER, migré de ActiveDirectory 2003 à ActiveDirectory 2012, externalisé sa messagerie sur Partage, mis en place un système Single Sign On et intégré le système SINAPS. Et en cette fin d'année, Irstea s'apprête à fusionner avec l'INRA pour donner naissance à l'INRAE. Après une présentation du contexte d'Irstea, nous reprendrons les grandes étapes de cette évolution, avec pour chacune d'elles un retour d'expérience technique allant de l'abandon de l'une ou l'autre des solutions, à l'adaptation de briques existantes voire au développement en interne ou externe. Nous continuerons sur un retour d'expérience méthodologique et stratégique regroupé en 4 axes : - l'interopérabilité entre les différents composants du système d'information ; - l'usage important des ressources proposées par la communauté ESR (Partage pour la messagerie, SINAPS pour le pilotage des identités, SupAnn pour la structuration des données) ;

JRES 2019 - Dijon1/20

- la sollicitation des réseaux de prestataires, des réseaux métiers et communautaires ; - le principe de la cathédrale et du bazar.

Mots-clefs

Partage, SINAPS, ORCID, ActiveDirectory, FusionDirectory, identité, annuaire, provisioning, cycle de vie, messagerie, SupAnn

1Introduction

Le système de gestion des identités est non seulement le premier composant utilisé lors de l'arrivée d'un nouveau collaborateur, mais c'est aussi le premier impacté lors d'un changement d'organisation. C'est, de fait, une brique essentielle du système d'information. Le système de gestion des identités de l'Irstea est né, a grandi et vit en en fonction des évolutions imposées, souhaitées et planifiées dans le cadre de la modernisation du système d'information actuel et futur.

Cet article est la transcription de la genèse d'un système de gestion des identités, partant

d'un besoin local à une nécessité institutionnelle, avec des retours d'expérience sur la gestion à long terme et les solutions techniques à des problématiques précises. Ceci n'est en aucun cas un guide pas à pas ou un guide de bonnes pratiques, mais plutôt un recueil de retours d'expérience destinés à ceux qui ont un projet de gestion des

identités et qui sont tentés par l'approche " cathédrale » ou " bazar » décrite par Eric S.

Raymond dans son ouvrage " La cathédrale et le bazar » [1]. La plupart des étapes sont accompagnées de " règles » qui émanent de son ouvrage et qui se sont vérifiées à maintes reprises. Après avoir ainsi décrit la genèse d'un annuaire technique d'établissement, l'article continuera sur sa jonction avec les systèmes d'information RH avant de conclure.

2Le contexte

2.1Présentation de l'institut

Irstea est un établissement à caractère scientifique et technique (EPST) qui, jusqu'en

2012, s'appelait Cemagref.

Ses thèmes de recherche sont regroupés en 3 départements scientifiques : Territoires,

Écotechnologie, Eau.

L'institut est composé de 700 chercheurs, 250 doctorants, 290 chercheurs associés et est réparti sur 8 sites distincts en France métropolitaine. La Direction des Systèmes d'Information est divisée en 3 pôles : - le pôle Gestion Décisionnelle en charges des systèmes de gestion financière, ressources humaine et immobilière,

JRES 2019 - Dijon2/20

- le pôle Informatique Scientifique en charge du développement d'applications scientifiques, - le pôle Informatique, Réseaux et Technologies de l'Information en charge des infrastructures informatiques. Une équipe informatique de centre sous la responsabilité fonctionnelle de la DSI est présente sur chaque site avec leur infrastructure de stockage et de virtualisation. Le 1 janvier 2020, l'Irstea et l'Inra (Institut National de la Recherche Agronomique [2]) fusionneront pour donner naissance à l'Inrae.

2.2Un SI fragmenté et isolé

2.2.1Un système d'information fragmenté

En 2007, et du fait de la limitation de certaines liaisons réseaux interrégionales, chaque site administrait son propre système d'information, composé notamment d'un service d'annuaire et de messagerie. La majorité des sites Irstea disposait d'un domaine ActiveDirectory local et d'une messagerie Exchange, sauf le site de Lyon qui avait le quatuor NIS / Samba / OpenLdap / Dovecot. Cette disparité technique rendait difficile la gestion quotidienne des comptes informatiques et des droits et des boîtes de messageries. Il n'y avait en outre que très peu d'échange de données et de dialogue entre les différents pôles de la DSI et les services informatiques régionaux.

2.2.2Un institut non interconnecté

L'Irstea était, à l'époque, connecté aux systèmes d'information de l'Enseignement Supérieur et de la Recherche uniquement par les liaisons réseaux fournies par RENATER et utilisait quelques listes de diffusion opérées par le Comité Réseaux des

Universités.

La notion de fédération d'identité, d'EduRoam était connue, mais leurs implémentations

étaient délicates en raison de l'absence d'un annuaire technique d'établissement correctement implémenté et renseigné.

3La mise en place d'un annuaire d'établissement

3.1Mise en place de deux annuaires sur le site de Lyon

Règle n°1 : " Tout bon logiciel commence par gratter un développeur là où ça le

démange » [1]

3.1.1Un annuaire technique local

Sur le site de Lyon, 2 sources de données liées aux identités coexistaient : - une base NIS pour les comptes informatiques [3], - une application Web avec une base de données pour l'annuaire téléphonique de Lyon,

JRES 2019 - Dijon3/20

Cette disparité était contraignante au quotidien et nécessitait des mises à jour régulières

sur ces deux systèmes différents et par des acteurs différents.

Afin de répondre à la problématique du référentiel de compte et d'annuaire téléphonique

local, l'équipe informatique de Lyon a mis en place la pile applicative suivante : - stockage des données : OpenLDAP [4] ; - console de gestion : Gosa2 [5] ; - scripts de bascule : " migrations tools » [6].

L'injection des identités et des groupes a été faite par l'équipe de Lyon, mais le lien avec

le contrôleur de domaine NT4 en Samba 3 [7] a été assuré par la société Opensides (lien

avec les comptes et groupes utilisateurs et les comptes machines).

3.1.2Un annuaire pages blanches local avec les données nationales

Règle n°2 : " Les bons programmeurs savent quoi écrire. Les grands programmeurs savent quoi réécrire (et réutiliser). » [1] En 2008, un autre besoin local est apparu : disposer d'un annuaire de type " pages blanches », regroupant les informations des agents de tous les centres et alimenté de manière automatisée. JRES 2019 - Dijon4/20Figure 1 : Disparité des annuaires techniques et fonctionnels

Cet annuaire devait être :

- accessible en mode web, - interrogeable par des clients de messagerie,quotesdbs_dbs7.pdfusesText_5

[PDF] openldap active directory sync

[PDF] synchronisation d'annuaire active directory et de base ldap

[PDF] ldap synchronization connector

[PDF] cours active directory pdf gratuit

[PDF] active directory pdf windows server 2008

[PDF] cours active directory windows server 2008 pdf

[PDF] active directory francais

[PDF] cours active directory ppt

[PDF] installation et configuration windows server 2012 pdf

[PDF] guide de ladministrateur windows server 2012 pdf

[PDF] toutes les formules excel 2007

[PDF] astuces excel 2007 pdf

[PDF] excel astuces formules

[PDF] excel astuces avancées

[PDF] les formules de calculs et fonctions dexcel pdf