Gestion des identités à l’Université de Rennes 1de LDAP à OpenIDM

Saâd Aït Omar

Olivier Salaün

Notre ancienne gestion des identités

difficilement maintenable…

G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 12

La nouvelle architecture

G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 13

Plusieurs bases métier

Plusieurs établissements partenaires (IEP, ENSCR, UBL, ESPE, ENS...)

Trois référentiels et plusieurs applications : Sésame, OpenIDM, Grouper, PWM, Rabbitmq…

Plusieurs annuaires : openldap, Active Directory…

De multiples services : messagerie, stockage…

Plusieurs acteurs : utilisateurs des comptes et des services, gestionnaires des bases métier, gestionnaires Sésame, gestionnaires des groupes, administrateurs, RSSI…

Gestion d’identités

De multiples composants et acteurs

G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 14

Le référentiel des utilisateurs

G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 15

Combinaison de plusieurs modes de synchronisations des données (module

provisionning) :

• mode reconciliation (batch) : réconciliation globale entre toutes les bases sources

et le référentiel

• mode liveSync : propagation des changements des bases métiers en temps

presque réel

Contrôle et consolidation des informations des personnes des différentes bases

métier (module Policy)

Dé-doublonnage à deux niveaux :

• dans les bases métier (vues métier avec trigger)

• pendant les synchronisations (module workflow)

Gestion du cycle de vie (scripts groovy - taskscaner) :

• détection des changements et modification de l’état des comptes : notification

fermeture, désactivation, suppression.

Le référentiel des utilisateurs :

Le choix de OpenIDM

G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 16

Un modèle de données de type json pour chaque objet :

• individu• compte informatique• nomenclature

Ce référentiel est géré par l’application OpenIDM et contient plusieurs entités :

Les individus

Les comptes informatiques

Les nomenclatures nécessaires au bon fonctionnement de la GI :

Les nomenclatures sésame

Les nomenclatures Harpege

Les nomenclatures Apogée

Les nomenclatures Koha

Le référentiel des utilisateurs :

Les objets manipulés

G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 17

AlimentationConsolidation

IndividuCompte

Nomenclature

UR1

OpenIDMECR

IEP

UBL

À 1 individu => N comptes informatiques.

1 compte informatique a obligatoirement 1responsable physique pour les comptes nominatifs.

Un compte informatique est créé sans service

• réduction des risques de réservation inutile des ressources ;

• réduction des risques d’utilisation de services dormants.

Un compte informatique a un cycle de vie(création, activation, modification, désactivation, réactivation, suppression) associé au profil utilisateur.

Le cycle de vie des ressources est associé au même cycle de vie du compte.

Le référentiel des utilisateurs :

Relation individu – compte informatique nominatif

G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 18

compteInformatique

identifiant1idParent (individu)profil1

compteInformatique

identifiant2idParent (individu)profil2

individu

idIDMinfosPersoinfosEtatCivilprofils

Le tableau des types de comptes

vers une amélioration des droits d’accès

G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 19

personnel etudiant lecteur cnn

personnel_titulaire_biatss etudiant_candidat lecteur_ph cnn_boiteFonctionnelle

personnel_titulaire_enseignantChercheur etudiant_inscrit lecteur_externe cnn_technique

personnel_cdi_biatss etudiant_doctorant cnn_formation

personnel_cdi_enseignantChercheur cnn_prestataire

personnel_contractuel_biatss cnn_inviteTemporaire

personnel_contractuel_enseignantChercheur cnn_demoTest

personnel_contractuelDoctorant_enseignantChercheur cnn_congres

personnel_vacataire_biatss

personnel_heberge_vacataire

personnel_heberge_externe

personnel_heberge_stagiaire

personnel_heberge_emeritat

personnel_heberge_autre

o Les objectifs au niveau SSI :• accès aux services et ressources au plus tôt ;

• arrêt des accès au plus tôt

o L’automatisation du cycle de vie s’appuie sur des règles communes à tous les comptes informatiques, ces règles utilisent les informations suivantes :

• la date de fin d’activité (DFA) : c’est la date de fin d’activité d’un agent, la date de fin du cycle d’étude d’un étudiant ou la date de fin d’inscription d’un lecteur.

• la durée maximale d’un compte (DM) : pour les comptes non nominatifs c’est la durée maximale d’un compte

• le délai de courtoisie (DC) : le délai de prolongement de l’état actif d’un compte au delà de la date de fin d’activité

• le sursis (S) : le délai de conservation des comptes et des ressources associées avant la suppression définitive

Le référentiel des utilisateurs :

Cycle de vie des comptes

G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 110

Déroulement du cycle de vie en 5 étapes

Le référentiel des mots de passe

G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 111

référentiel des mots de passe

• utilisateur autonome pour gérer son mot de passe

• code d’activation => adresse mail privée

• activation du compte depuis PWM

1. saisir la clé activation

2. accepter la charte informatique

3. choisir un mot de passe

4. activer ses services informatiques

PWM (https://github.com/pwm-project/pwm)

• application open source dédiée

• fonctionnalités utilisateur : activation de compte, changement de mot de passe, reset mot de passe

• paramétrage : complexité mots de passe, dictionnaires de mots de passe, remote REST, intégration avec un portail,

intégration avec notre GI

• initialisation du compte PWM depuis OpenIdm

• nouveau mot de passe poussé vers nos annuaires

Le référentiel des mots de passe

G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 112

Mots de passe

IHMPWMindividu

openldap Active Directory

Le système de messages : rabbitMQ

G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 113

protocole de messagerie entre applications

• gestion de files d’attente entre producteurs et consommateurs

• fiabilité du protocole AMQP

découplage entre cœur GI et services périphériques

• producteur = OpenIDM

• consommateurs = scripts de gestion des services

utilisation

• pousser les mots de passe

• activer services (stockage, messagerie, etc)

• mises à jour services

• deprovisionning services

rabbitMQ

G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 114

rabbitMQ

exemple du service Partage

G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 115

Le référentiel des groupes

G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 116

Choix de l’outil Grouper pour la gestion des groupes :

• fonctionnalités de provisionning ;

• IHM utilisateurs pour la manipulation des groupes ;

• possibilité de délégation.

Exemples d’utilisation :

• contrôler l’accès aux imprimantes par les usagers ;

• automatiser la création des espaces via les groupes Grouper et gérer les accès utilisateurs (lecture/écriture) via ces mêmes groupes.

Le référentiel des groupes

L’application Grouper

G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 117

Alimentation

Les autres

Groupesorganisationnels

manuels

UR1

ECR

IEP

UBL

Les annuaires LDAP

G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 118

Les annuaires ne sont plus les référentiels des comptes.

Le contenu de ces annuaires dérive de l’intégration des données des trois référentiels :

• données métier et données techniques du référentiel des utilisateurs ;

• données de l’appartenance aux groupes ;

• empreintes des mots de passe.

Pour garantir la cohérence des accès, les services clients ne doivent utiliser que le contenu des annuaires.

Les annuaires LDAP

Annuaires vs référentiels

G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 119

IndividuCompte

Groupes

Mots de passe

PeuplementIntégration

openldap Active Directory

AuthentificationCAS, SHIB, …

AuthentificationPostes de travail

Services, applications, postes de travail

Sésame

• activation des services utilisateur

• gestion déléguée des comptes non nominatifs

Sésame consultation

• pour les équipes de support

• vue agrégée des infos sur utilisateur (openIdm, pwm, ldap, AD)

Les outils « maison »

G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 120

déploiement (alotissement)

• lot 1 (comptes non nominatifs) : mai 2017

• lot 2 (personnels) : juillet 2017

• lot 3 (étudiants) : novembre 2017

• lot 4 (lecteurs) : décembre 2017

les difficultés

• ampleur du projet

• qualité des données (double saisies dossiers, fiabilité adresse mail privée)

Etat du déploiement et difficultés rencontrés

G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 121

provisionning au fil de l’eau

déprovisionningautomatique

autonomie utilisateurs ++

délégation gestion comptes et groupes

gestion des mots de passe ++

facilité à intégrer nouveaux services (ex: Partage)

meilleure intégration avec SIGB (Koha)

traitement des doublons

ménage dans annuaire LDAP

Gains observés

G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 122

vos questions ?