Solution automatisée de gestion des accès - Document de référence

AFFICHER TOUT LE CONTENU

Table des matières

Articles reliés

Introduction

La solution de Gestion des accès permet un encadrement des règles et des principes qui mènent à une saine gestion des accès des actifs informationnels. Elle contribue à formaliser, dans Octopus, les accès octroyés ou retirés, que ce soit dans le cadre de l’arrivée d’un nouvel employé, d’un départ ou simplement lors d’une demande d’ajout ou de retrait d’un accès à un employé existant. 

Il existe plusieurs bénéfices à utiliser la gestion des accès, en voici quelques-uns : 

  • Pouvoir identifier les utilisateurs ayant accès à un système ou une application.
  • Pouvoir lister tous les accès pour un utilisateur donné.
  • Prouver que l'accès a été formellement demandé, approuvé et octroyé.
  • Mieux gérer le retrait d'accès lors du départ d'un employé.
  • Être proactif en étant avisé plus rapidement de l'arrivée ou du départ d'un employé.
  • Mieux répondre aux exigences des vérifications externes.
  • Outil centralisé pour tous les types de demandes d'accès, améliorant le service aux utilisateurs.
  • Protection des actifs informationnels d'une entreprise.
  • Etc.

La solution demande une préparation qui dépasse la simple configuration d'Octopus, principalement parce qu'elle implique des intervenants qui ne font pas partie de l'équipe TI. En effet, certains accès sont approuvés/octroyés par les TI, tandis que d'autres relèvent de spécialistes applicatifs qui font partie d'un département ou service de l'entreprise (on les appelle parfois pilotes dans certains domaines d'affaires). La solution doit tenir compte de leurs interventions si on veut que la gestion des accès soit complète et efficace. 
 

Mise en place de la gestion des accès
  • Pour adresser tous les enjeux et garantir le succès d'une mise en place agile et soignée, un accompagnement particulier est requis pour les clients qui désirent introduire la gestion des accès dans leur organisation. 
  • Pour toute information ou pour l'activation du module, il faut effectuer une demande au Centre de services. 
  • Cet accompagnement inclura la préparation, les configurations, les communications et la formation des différents intervenants impliqués. Certains prérequis sont incontournables pour mener à bien le projet; une évaluation sera effectuée afin d'identifier les conditions d'établissement. Vous pouvez contacter le Centre de services Octopus qui se fera un plaisir de vous orienter sur la marche à suivre.

Concepts

La solution automatisée de gestion des accès d'Octopus repose essentiellement sur le module Configurations, ainsi que sur la configuration des types de SR qui tiendront compte d'accès dans une tâche et dans le formulaire. Lors de la sélection d'un profil ou d'un accès dans un formulaire, Octopus crée une tâche qui est assignée à un groupe responsable de traiter la demande d'accès. Lorsque complétée, Octopus établit automatiquement la relation entre l'accès et l'utilisateur. Le processus contraire s'applique lors du retrait d'un accès. 

De plus, la solution étend ses possibilités lorsqu'un lien est établi entre Octopus et un système de données externes (système RH), qui permet de débuter le processus au moment où une modification est apportée au système par un employé des ressources humaines. Le tout a été pensé afin de rendre l'expérience agréable pour l'utilisateur qui soumet une demande et pour l'intervenant qui doit exécuter le travail. 

Nous vous présentons une représentation graphique du concept. Des profils d'accès sont créés, auxquels on a associé : 

  • un ensemble d'accès par défaut.
  • un ensemble d'accès optionnels pouvant être sélectionnés par le demandeur.


Dans notre scénario, Alain, Claire et Bruno font respectivement partie du PROFIL A, PROFIL B et PROFIL C. On peut voir ce que chacun détient comme accès par défaut et comme accès optionnels. 
 

Dans Octopus, Profil et Accès sont des types de CI qui sont en relation. Il est alors possible de visualiser les accès octroyés à un utilisateur ou encore les utilisateurs associés à un accès. 
L'illustration ci-dessous vous montre un exemple des deux aspects. 
 

 

Mode de fonctionnement

L'illustration ci-dessous résume bien le mode de fonctionnement du processus de gestion des accès à partir de l'ajout d'un employé dans un système RH. Le principal avantage d'un lien entre Octopus et les RH est que le supérieur immédiat sera invité à soumettre un formulaire; l'informatique a plus de chances de recevoir les demandes plus rapidement, plus tôt que le matin même de l'arrivée d'un employé ou six mois après un départ. 

Notez qu'il n'est pas indispensable d'avoir ce lien pour que les demandes d'accès soient automatisées; simplement, le supérieur immédiat ne recevra pas d'avis par courriel et il devra sélectionner lui-même le profil de l'employé. La fiche utilisateur n'existant pas dans Octopus, il faudra prévoir une tâche au préalable avant de lancer les tâches d'accès. Le spécialiste Octopus vous accompagnera dans l'établissement du formulaire et vous informera des prérequis pour un bon fonctionnement de la solution. 
 

Prérequis

Pour mettre en place la solution de gestion des accès, vous devez :

  1. Être familier avec le module Configurations et ses possibilités.
  2. Avoir déployé le portail Web - la solution repose entièrement sur le portail Web pour la génération automatique des tâches d'approbation et d'octroi des accès.
  3. Utiliser les tâches dans les demandes de service - La solution génère automatiquement des tâches d'accès assignées aux groupes d'intervenants responsables.
  4. Conscientiser les intervenants internes et externes à utiliser l'outil comme demandé pour optimiser la solution.
ATTENTION : Un intervenant dit interne est un intervenant qui fait partie du groupe informatique. Un intervenant dit externe est un utilisateur final qui participe aux tâches d'une demande de service dans Octopus. Pour plus d'informations à propos du concept d'intervenants externes, nous vous invitons à consulter l'article Wiki Utilisateur externe - Comment utiliser les tâches.

Préparation de la structure

La solution de gestion des accès est appliquée sur un environnement Octopus à l'aide d'un module d'extension (plug-in). Ce module crée automatiquement dans Outils > Données de références...> la structure de base nécessaire à partir de laquelle le spécialiste Octopus et le client pourront travailler. 

De base, le module introduit les éléments suivants : 

  • Deux types de CI : Accès et Profil. Le profil correspond au rôle d'un employé dans une organisation, par exemple, agent administratif, infirmière, représentant, etc.
  • Des attributs spécifiques sur le type de CI Accès, dont :

  • L'ajout de deux types de relations bidirectionnelles qui seront établies entre les types de CI Accès et Profil :
    • Donne accès à / Est donné par - lorsqu'un accès est associé à un profil, ce type de relation définit les accès par défaut associés à un profil.
    • Donne optionnellement accès à / Est donné optionnellement par - ce type de relation définit les accès optionnels associés à un profil.
  • Trois types de demandes de service :
    • Nouvel employé, avec un formulaire Web contenant au minimum les champs personnalisés Titre, Lieu de travail, Date d'embauche et Accès (accès par profil).
    • Changement d'accès, avec un formulaire Web contenant au minimum le champ personnalisé Changement d'accès (accès par catégorie).
    • Départ permanent
  • L'ajout des colonnes Date de départ, Date d'embauche et Avis de nouvel employé envoyé pour les listes personnalisées.
  • Deux gabarits de courriel qui serviront lors de la génération du courriel envoyé au supérieur immédiat pour les nouveaux employés ou les départs permanents (la personnalisation des gabarits peut être effectuée dans Octopus à partir de Outils > Option de gestion des accès...) - voir ci-dessous deux exemples. 


Gabarit de courriel pour l'embauche d'un employé 


Gabarit de courriel pour le départ d'un employé

Configuration d'Octopus

Une fois la structure en place, vous devez :

  • Associer une licence de type Intervenant externe ainsi que le rôle correspondant dans les fiches pour les utilisateurs qui interviendront dans les tâches d'accès.
  • Créer les groupes d'intervenants externes dans la section Général > Groupe d'utilisateurs de la Gestion des données de référence.
  • Ajouter (ou importer) dans le module Configurations les accès et leurs attributs, les profils et les relations qui existent entre les accès et les profils (les relations permettent d'identifier les accès par défaut et optionnels pour chaque profil).
  • Réviser/ajouter les types de SR et leur formulaire.

Pour ce faire, certaines données doivent être préparées. Si la liste des accès est substantielle, il vaut mieux consigner l'information sur un fichier et l'importer dans Octopus avec notre programme DataImporter
(voir l'article DataImporter : Importation de données à partir d'une source externe pour plus d'informations). 

Étape 1 - Établissement des accès, profils d'accès, relations et attributs dans Octopus

Étapes Commentaires

1. Lister tous les accès qui doivent être gérés dans Octopus

Il peut y avoir plus d’un accès à un système ou une application (ex. accès standard, accès administrateur).

2. Définir les profils.

Les profils sont composés d'accès par défaut et d'accès optionnels pour un type d’emploi donné.

La définition des profils exige temps et effort, mais contribue à mieux structurer les nombreux accès d'une organisation, simplifie la demande de l'utilisateur ainsi que le travail des intervenants.

3. Établir les relations entre les profils et les accès Identifie les accès par défaut et les accès optionnels associés à chaque profil.
4. Identifier les intervenants externes et modifier leur profil Les intervenants externes sont des utilisateurs réguliers qui peuvent être invoqués dans une tâche d’une demande de service.

L’intervenant externe est identifié dans son profil utilisateur Octopus, sous l’onglet Accès Octopus. Noter que des frais de licence de 10,00 $ sont facturés pour les intervenants externes.
5. Établir et configurer les groupes d’approbation des accès, les groupes d'installation des accès et les groupes d’octroi des accès
  • Groupes d’approbation* : contiennent les utilisateurs responsables d’approuver l’accès avant l'octroi, lorsque la situation l'exige (l'approbateur est différent de celui qui octroie).
  • Groupes d’installation* : contiennent les utilisateurs responsables d’installer l'application concernée par l'accès demandé, lorsque la situation l'exige (l'installateur est différent de celui qui octroie).
  • Groupes d’octroi* : contiennent les utilisateurs responsables d’octroyer l’accès. Ces groupes sont désignés dans les attributs de chaque accès.

* Plusieurs types d’accès pourraient être approuvés/installés/octroyés par un même groupe.Plusieurs types d’accès pourraient être approuvés/installés/octroyés par un même groupe.

6. Établir les attributs pour chaque accès

Le type de CI Accès contient un ensemble d’attributs qui interviendront au moment de la génération des tâches d’accès. Ces attributs sont :

  • Catégorie d’accès : permet de regrouper les accès par catégorie. Utile si l'on veut classifier les accès et les présenter par catégorie dans un type de SR.
  • Groupe d’approbation* : groupe désigné pour approuver l’accès à un système ou à une application. Il peut être un groupe TI ou un groupe d’utilisateurs (intervenants externes).
  • Groupe d’installation* : groupe désigné pour installer l'accès à un système ou à une application. Il peut être un groupe d’intervenants TI ou un groupe d’utilisateurs (intervenants externes).
  • Groupe d’octroi*  : groupe désigné pour octroyer l’accès à un système ou à une application. Il peut être un groupe d’intervenants TI ou un groupe d’utilisateurs (intervenants externes).
  • Instructions d’approbation : possibilité d’inscrire une instruction spécifique destinée à un groupe d’approbateurs d’accès. Cette instruction apparaîtra dans la tâche d'approbation d'accès générée.
  • Instructions d’installation : possibilité d’inscrire une instruction spécifique destinée à un groupe d’installateurs d’accès. Cette instruction apparaîtra dans la tâche d'installation d'accès générée.
  • Instructions d’octroi : instruction spécifique destinée au groupe d’octroi d’un accès. Cette instruction apparaîtra dans la tâche d'octroi d'accès générée.
  • Option de formation visible : en indiquant Oui dans cet attribut, une case à cocher Formation requise apparaîtra dans le formulaire Web de demande d’accès, qui pourra être sélectionnée par le demandeur afin d’aviser l’intervenant externe qu’une formation est nécessaire
  • Requiert une justification : en indiquant Oui dans cet attribut, une boîte de texte Justification apparaîtra dans le formulaire Web de demande d’accès, le demandeur doit obligatoirement justifier la demande d'accès.
  • Type d'accès : permet de retrouver les accès par type.  Utile si dans un type de SR on veut offrir les accès d'un type en particulier.

    *Il est impossible d'indiquer un groupe d'une autre équipe.
7. Consigner les accès, profils d’accès, relations et attributs dans les fichiers d’importation et procéder Afin de vous aider dans cette importation, nous avons établi un modèle de fichier Excel et de fichier XML. Voir votre spécialiste Octopus à ce sujet.

 

Ce qu'il faut savoir :

La tâche d'approbation générée dans le cadre de la gestion des accès est une tâche d'approbation directe et il n'est pas possible de configurer l'autoapprobation.

Étape 2 - Construction des types de demande de service impliquant des accès

Une fois les accès, les attributs, les profils et les relations importés dans Octopus, ils sont prêts à être utilisés dans les types de demandes de service nécessitant des demandes d'accès. Par défaut, le module d'extension crée trois types de SR : 

  • Nouvel employé
  • Changement d'accès
  • Départ permanent

Vous pouvez les renommer et les modifier à votre guise ou en créer de nouveaux qui contiendront les tâches et les champs personnalisés relatifs aux accès. Ces derniers doivent être configurés de façon précise, de manière à ce que la demande d'un accès génère et envoie automatiquement une tâche au groupe d'approbation/d'octroi de cet accès. 

  • Un formulaire qui présente les accès par profil sera configuré de la façon suivante :
    • Une tâche standard dans le type de SR, avec comme sujet @Gestion des accès.
    • Un champ personnalisé de type Accès (par profil).
  • Un formulaire qui présente les accès par catégorie sera configuré de la façon suivante :
    • Une tâche standard dans le type de SR, avec comme sujet @Gestion des accès.
    • Un champ personnalisé de type Accès (par catégorie) (prendre note qu'un accès dont aucune catégorie n'a été spécifiée se classera automatiquement dans une catégorie Divers).

Nous vous présentons ci-dessous un ensemble d'illustrations qui concrétisent la configuration et les résultats des trois approches ci-dessus. 

Accès (par profil)

Les illustrations suivantes vous montrent les configurations appliquées à un type de SR et un formulaire Nouvel employé et le résultat du formulaire généré. 
 

Configuration du type de SR Nouvel employé (exemple)

Configuration du formulaire Nouvel employé (exemple)

Formulaire Nouvel employé (exemple)

Accès (par catégorie)

Le concept est le même pour les accès par catégorie, sauf que l'on doit spécifier le type d'accès Accès (par catégorie) dans la construction du formulaire. À ce moment, les accès seront présentés par catégorie (noter que les accès sans catégorie se classent automatiquement dans une catégorie Divers). 


Formulaire - Accès (par catégorie)

Filtrer les accès par catégorie

Par défaut Octopus va montrer tous les accès qui existent groupés par catégorie. Mais dans un contexte où il y a un très grand nombre d'accès, on peut limiter le nombre qu'on présente au demandeur avec certaines méthodes.

Il y a deux méthodes pour filtrer les accès par catégories : 

  • Un filtre sur le Type d'accès.
  • Un filtre sur la Catégorie.

La vidéo suivante vous montre des exemples de choix disponibles avec la catégorie par défaut et avec l'utilisation des filtres. 

Voir petite vidéo

Options

Demande de service confidentielle

Cette option permet, si désirée, de désigner certains types de demandes de service comme étant confidentiels. Nous vous invitons à lire l'article Wiki Qu'est-ce qu'une demande de service confidentielle? qui vous expliquera les effets de l'activation de cette option. 

Le demandeur peut créer un nouvel utilisateur

Cette option est utile lorsqu'un demandeur soumet un formulaire de Nouvel employé et que l'utilisateur n'existe pas dans Octopus. Dans le contexte de la GDA, cette option doit être combinée avec l'option Le demandeur doit désigner un utilisateur différent de lui-même.

Le demandeur doit désigner un utilisateur différent de lui-même

Cette option est utile lorsqu'un demandeur soumet un formulaire de Nouvel employé; le système l'oblige à spécifier un utilisateur différent de lui-même. Dans le contexte de la GDA, cette option doit être combinée avec l'option Le demandeur peut créer un nouvel utilisateur.

X
Aidez-nous à améliorer l’article