Déploiement de la gestion déléguée

La gestion déléguée n'a pas lieu dans IDM, mais dans une interface utilisateur web dédiée à partir du eIAM AdminPortal. Celle-ci peut aussi être jouée automatiquement par l'application cible via une interface.

API eIAM-RDM

Afin de pouvoir déléguer à une ou plusieurs unités organisationnelles internes ou externes, vous ouvrez dans eIAM des unités qui représentent ces unités organisationnelles. Les unités sont donc une structuration de votre mandant d'accès eIAM. Pour chaque unité, vous invitez au moins un gestionnaire délégué, également dans l'interface utilisateur web susmentionnée. Le gestionnaire délégué peut alors inviter et autoriser "ses" utilisateurs de manière autonome au sein de son unité. En tant que créateur d'unité, vous définissez vous-même les propriétés de l'unité, c'est-à-dire quels rôles et attributs peuvent y être attribués pour quelles applications cibles, ainsi que la possibilité pour les managers délégués d'ouvrir et de déléguer eux-mêmes des sous-unités.

La caractéristique centrale de la gestion déléguée réside dans les invitations susmentionnées, c'est-à-dire l'invitation des gestionnaires délégués et l'invitation des utilisateurs par les gestionnaires délégués. La procédure d'invitation présente l'avantage que les utilisateurs peuvent être créés et autorisés avant même de connaître leur identité électronique. Les utilisateurs reçoivent un code d'embarquement, par exemple par e-mail, qu'ils utiliseront avec une identité électronique adéquate de leur choix. Au moment de l'utilisation, l'identité électronique est liée à l'enregistrement de l'utilisateur préparé dans la gestion déléguée.

Les identités électroniques adéquates sont définies par l'intégration de l'application cible pilotée. Si le public cible est constitué d'utilisateurs qui ne peuvent pas être équipés de cartes à puce de l'administration fédérale, le CH-LOGIN propose la variante auto-enregistrée et non vérifiée avec un ou deux facteurs de connexion (mTAN et Authenticator App) et une variante vérifieée, cette dernière avec un jeton cryptographique dur (clé de sécurité FIDO, Mobile ID) et une identification vidéo (VIPS) ou le jeton Vasco comme deuxième facteur.

Pour l'utilisation des identités électroniques non vérifiées (auto-enregistrées) et vérifiées (identités certifiées) dans les relations avec l'administration fédérale, le BYOI deviendra plus courant à l'avenir, également dans le cadre de la gestion déléguée de l'eIAM.

Préparation


L'utilisation de la gestion déléguée présuppose une préparation sérieuse. Comme nous l'avons déjà mentionné, l'aspect organisationnel est celui sur lequel il faut mettre l'accent. Il va de soi que des préparatifs techniques et professionnels sont également nécessaires. Mais celles-ci se basent sur la préparation organisationnelle. En principe, les fonctionnalités du portail d'administration eIAM sont déjà disponibles dans eIAM et peuvent être utilisées à tout moment.

Procédure

Le graphique suivant illustre les différentes phases de la procédure de déploiement de la gestion déléguée dans le cadre d'un projet.
Phases du projet de déploiement de la gestion déléguée
Phases du projet de déploiement de la gestion déléguée

*(seulement si nécessaire)
Phase d'initialisation
  • Gestion de projet
    • Dans le cadre d'un entretien de conseil sur la base d'un dossier eIAM, il est vérifié conjointement entre le fournisseur de prestations et le bénéficiaire de prestations si la gestion déléguée est adaptée aux cas d'utilisation de l'office
    • Dans le cadre de la vérification, les questionnaires dans le dossier eIAM est remplie conjointement en ligne et/ou, le cas échéant, complétée et corrigée conjointement
  • gestion organisationnelle
    • Il faut vérifier quels services seront impliqués dans un éventuel déploiement de la gestion déléguée. Cela comprend également les interlocuteurs dans des cercles tiers (par ex. dans les entreprises et les cantons)
  • gestion technique
    • Il faut vérifier quels interlocuteurs doivent être impliqués d'un point de vue technique du côté des applications l'office fédéral dans le déploiement et en ce qui concerne une éventuelle adaptation des interfaces et la migration. Cela inclut également les personnes chez les fournisseurs tiers d'applications de l'office fédéral
  • Gestion spécialisée
    • Il faut vérifier quels responsables techniques des applications de l'office fédéral et quelles organisations d'exploitation (niveau 1 à niveau 3) doivent être impliqués et formés dans le cadre du déploiement
    • Il faut vérifier qui doit être impliqué dans la planification du déploiement en ce qui concerne la formation des utilisateurs finaux
Phase d'analyse
  • Gestion de projet
    • En raison de la diversité des tâches et de la coordination, il faut un cadre de projet qui coordonne l'ensemble du projet de déploiement de la gestion déléguée. La structure de projet correspondante doit être mise en place et définie par l'office
    • L'introduction de la gestion déléguée nécessite un calendrier précis en fonction des différentes activités. Selon que les interfaces sont adaptées et/ou que les aspects de la migration sont pris en compte, le déploiement peut durer de quelques semaines à quelques mois (par exemple, Swissmedic en tant que pilote a duré 9 mois)
    • Le projet est responsable de la prise en compte adéquate de la situation de départ technique au sens des processus commerciaux. Ceux-ci peuvent être fondamentalement modifiés par la gestion déléguée et doivent être documentés en conséquence. (Exemple de Swissmedic: l'accès avec vérification et échange de documents a duré 3 jours. Grâce à la décentralisation avec gestion déléguée, l'utilisateur peut être onboarded en 30 minutes sans échange de documents)
  • Gestion organisationnelle
    • L'office doit définir la structure de l'unité et peut s'inspirer de vos processus commerciaux. Les aspects techniques et organisationnels doivent être pris en compte. En principe, il y a pour chaque personne qui utilise la gestion déléguée une Master Unit qui porte le même nom que le mandant
    • En raison de la structure de mandant de l'eIAM en tant que cadre technique, il peut être nécessaire d'établir des dépendances au-delà d'une simple vue applicative. Des consolidations globales à l'échelle de l'office peuvent également être envisagées dans le projet. Cela devrait être considéré comme une opportunité de consolider des structures hétérogènes. Mais il faut aussi définir la structure de manière à ce qu'elle résiste aux exigences futures et qu'elle soit évolutive
    • La gestion déléguée peut nécessiter de redéfinir les responsabilités entre l'office et les tiers qui prennent en charge la gestion déléguée. Il est recommandé de consulter le service juridique de l'office concerné dans le cadre du projet et de lui demander d'élaborer d'éventuelles adaptations contractuelles
    • Une communication précoce à toutes les parties prenantes est une activité clé pour la réussite du projet. En raison du large impact de la gestion déléguée, il est judicieux de planifier la communication à toutes les parties prenantes pendant toute la phase du projet
  • Gestion technique
    • La gestion déléguée requiert un concept de rôles propre, qui définit exactement qui a besoin de quelles autorisations pour la gestion déléguée et son support. Ce concept de rôles doit être établi. S'il en existe déjà un, il faut vérifier s'il est adapté à la gestion déléguée et l'adapter si nécessaire. Il est recommandé d'examiner la possibilité de créer des rôles commerciaux dans le cadre du concept de rôles. Ceux-ci peuvent simplifier l'attribution des rôles, car un regroupement spécifique à la fonction peut être effectué. En particulier, les nouveaux rôles futurs sont ainsi plus faciles à déployer, car il est possible de les intégrer dans des ensembles permanents
    • Pour les rôles avec attributs, il existe des interfaces techniques pour leur livraison, si ceux-ci ne veulent pas être gérés manuellement (exemple de Swissmedic avec plus de 3000 médicaments). En outre, l'application métier doit être adaptée de manière à pouvoir consulter et évaluer les informations reçues par eIAM concernant ces attributs. De telles interfaces ne sont actuellement pas comprises dans l'offre standard pour la gestion déléguée et doivent toujours être commandées et développées séparément et selon les besoins
    • La gestion déléguée se base sur l'utilisation de comptes CH-LOGIN dans le domaine eGov et de comptes fédéraux. Les offices ayant des mandants de communautés spécialisées existants doivent inclure dans le projet une migration de ces comptes vers des comptes CH-LOGIN. Les étapes de la migration doivent être analysées et planifiées dans le projet
  • Gestion spécialisée
    • L'ensemble des rôles ne se base pas uniquement sur des aspects techniques, mais aussi sur des aspects professionnels. C'est pourquoi, lors de la définition du concept de rôles, il est nécessaire de se concerter étroitement avec les responsables techniques afin de définir une structure de rôles judicieuse. Lors de l'utilisation d'attributs sur les rôles, il faut également tenir compte de l'aspect des espaces de données. Cette dimension élargie de l'autorisation doit être harmonisée avec les exigences techniques sous-jacentes issues des processus commerciaux
    • Les besoins en formation des différents groupes d'intérêt doivent être vérifiés et consignés dans le cadre d'un concept de formation. Les formations doivent être adaptées aux besoins de l'office et à ses cas d'utilisation spécifiques. Les documents de formation existants peuvent être réutilisés et adaptés en fonction des besoins
    • Le déploiement technique de la gestion déléguée doit être planifié de manière détaillée afin que tous les groupes d'intérêt impliqués disposent à temps des connaissances nécessaires pour leur travail quotidien. Une procédure échelonnée est judicieuse, tout comme, le cas échéant, la mise en place d'une infrastructure de formation et/ou de démonstration sur des systèmes pré-production
Phase de mise en œuvre
  • Gestion de projet
    • Le déploiement organisationnel, technique et fonctionnel nécessite une coordination étroite, qui ne peut être garantie que par une organisation de projet adéquate
    • Tous les aspects doivent prendre en compte de manière adéquate les éventuels retards de délais et autres défis. En particulier, les aspects supplémentaires d'interface et de migration doivent être soigneusement accompagnés
  • Gestion organisationnelle
    • Lors de l'attribution de la gestion déléguée à des tiers (p. ex. entreprises et cantons), il est recommandé de régler clairement par écrit les tâches, les compétences et les responsabilités en termes de droits et d'obligations entre les parties contractantes. L'élaboration de la base contractuelle nécessaire à cet effet est l'affaire de l'office sur la base des processus commerciaux
    • Il est recommandé de communiquer par le biais de plusieurs canaux (mailings (newsletter), lettres, séances d'information, publications en ligne, etc. La communication doit être spécifique aux destinataires. Ainsi, les organisations de support et les managers délégués ont besoin d'autres informations que les utilisateurs finaux et les utilisateurs purs, qui sont éventuellement concernés par le changement en raison des étapes de migration. La communication doit être établie de manière spécifique en fonction des besoins de l'office et de vos clients
  • Gestion technique
    • Sur la base des structures d'unités élaborées et du concept de rôles, les données correspondantes sont créées dans eIAM (IDM) lors de la phase de mise en œuvre. Selon la complexité (Greenfield-Approach, migration, consolidation, etc.), cela se fait manuellement ou par script. Le staging dans les environnements de pré-production, tels que la référence et la réception, permet d'acquérir de l'expérience au cours du projet et de procéder à de petites adaptations et corrections avant la mise en production
    • Les interfaces doivent être confiées aux équipes de développement respectives de l'application métier et de l'eIAM. Il faut prévoir des phases suffisantes pour l'intégration et les tests
    • Les migrations s'effectuent généralement par script et se basent sur le concept de migration élaboré, qui tient compte des particularités spécifiques des intégrations d'applications de l'office
  • Gestion spécialisée
    • L'attribution initiale des rôles conformément au concept de rôles peut se faire manuellement ou par script. Pour la démonstration et les tests, une manipulation manuelle est simple et soutient une approche pragmatique et agile. Pour l'initialisation finale avec des rôles, une approche exclusivement basée sur des scripts devrait être choisie afin d'éviter les erreurs
    • Pour les formations, la documentation existante peut être utilisée et adaptée. En particulier pour l'utilisation du compte CH-LOGIN, il est recommandé de ne pas créer de documentation spécifique à l'office, sinon, en cas de changement de version, l'office devra procéder à une mise à jour coûteuse de la documentation. Seuls les aspects spécifiques à l'application métier doivent être orientés spécifiquement vers l'office. Donc des aspects comme le point d'entrée pour l'application métier ou l'explication des rôles de l'application métier et leur importance pour les managers délégués
    • Mettre en œuvre la formation à temps, afin que les parties prenantes ne soient pas gênées par le changement dans leurs activités quotidiennes
Connexion
  • Gestion de projet
    • Il est recommandé d'organiser une séance de feedback à la fin du déploiement
    • Les enseignements tirés doivent être consignés et l'OFIT doit définir des mesures d'amélioration appropriées pour les futures mises en œuvre. Ainsi, l'expérience acquise peut être utilisée de manière globale au sein de l'administration fédérale
    • Le CAIZEN, au sens du processus d'amélioration continue, doit être établi sur la base des expériences faites au quotidien. Il faut notamment aider les organisations de soutien à résoudre elles-mêmes, avec une grande autonomie, les problèmes qui surviennent
    • Les contributions des utilisateurs finaux doivent être introduites sous forme de demandes de changement et d'améliorations dans le "release backlog", afin de permettre une amélioration continue des fonctionnalités sur la base des commentaires des clients
  • gestion organisationnelle
    • Il est recommandé d'informer définitivement à la fin du déploiement dans l'esprit "Fais le bien et parles-en"
    • Le projet doit transmettre le mandat de prestations aux organisations exécutantes et transférer les tâches dans l'exploitation ordinaire
  • Gestion technique
    • Pour les éventuelles implémentations techniques, telles que les interfaces et les intégrations, une acceptation technique officielle doit être effectuée par le bénéficiaire des prestations vis-à-vis du fournisseur de prestations. Ainsi, la mise en service est enregistrée et les éventuelles demandes de modifications et de corrections ne peuvent être effectuées que par le biais de mandats supplémentaires correspondants
  • Gestion spécialisée
    • L'opérationnalisation technique garantit que tous les groupes d'intérêt sont documentés sous une forme suffisante pour leur permettre de gérer leurs travaux quotidiens
    • Les responsabilités entre le fournisseur de prestations et le bénéficiaire de prestations sont clairement définies. Cela concerne notamment la délimitation claire des tâches des différentes organisations de soutien

Configuration technique initiale

Une configuration technique initiale est nécessaire pour la gestion déléguée. Celle-ci comprend notamment
  • le déploiement initial / le nettoyage de la structure des unités
  • le déploiement initial / le nettoyage de la structure des rôles
Déploiement initial / nettoyage de la structure de l'unité.
La structure d'unité est l'un des éléments centraux par lesquels la gestion déléguée est pilotée. La structure d'unité doit être mûrement réfléchie, car elle doit être déposée de manière globale au sein d'un mandant eIAM (souvent au niveau de l'office). Cette structure doit être analysée dans le cadre du déploiement et, sur la base du concept d'unité défini, soit définie initialement et/ou, le cas échéant, corrigée en conséquence.

Mise à disposition initiale / nettoyage de la structure des rôles.

Préparation des rôles fonctionnels

Attribution initiale des rôles
Rôles spécifiques de l'administration déléguée

Pour que les administrateurs délégués puissent utiliser les fonctionnalités, il faut d'abord leur attribuer les rôles IDM correspondants dans leur profil utilisateur.

Rôles IDM & attributions d'accès

Nom des rôles dans IDM Désignation Tâches du rôle
DelegatedManager_DelegMgmt_Permission Administrateur délégué pour DelegatedAdmin_User et DelegatedAdmin_Permission Ce rôle est une condition de base pour l'accès à l'interface utilisateur graphique de gestion du portail.
Ce rôle permet également de transmettre les rôles DelegatedAdmin_User et DelegatedAdmin_Permission. Seuls les utilisateurs ayant ce rôle peuvent voir l'onglet 'Grant Delegated Management Permissions' dans l'interface utilisateur graphique du portail eIAM.
DelegatedManager_Permission Delegated Administrator for Access Management Ce rôle permet de gérer les rôles de l'utilisateur dans le contexte de la gestion déléguée.
DelegatedManager_SubUnit Delegated Administrator for Subunits Ce rôle permet de gérer des subunits. Les unités principales ne peuvent pas être gérées.
DelegatedManager_MainUnit Delegated Administrator for Subunits Ce rôle permet de gérer les unités principales et les sous-unités.
DelegatedManager_User Delegated Administrator for Identity Management Ce rôle permet de gérer les droits des utilisateurs et d'ajouter de nouveaux utilisateurs.
DelegatedManager_Client n.a. n.a. (gestion des mandants)



Rôles IDM: Modifier l'espace de données

En plus des autorisations fonctionnelles proprement dites dans l'eIAM-AM par le biais de rôles, il existe un autre type d'autorisations, appelées autorisations d'espace de données. Celles-ci contrôlent la partie des données sur laquelle l'autorisation fonctionnelle correspondante peut être appliquée. Par exemple, un administrateur avec le rôle BVA ne peut pas attribuer d'autorisations aux applications tant qu'au moins un espace de données client et au moins un espace de données d'une application ne lui ont pas été attribués. Les rôles contrôlent donc ce que le titulaire du rôle peut faire. L'espace de données contrôle où il peut le faire.

Espace de données Limitation de l'espace de données Recommandation
client un seul ou tous les clients un seul client
service Un seul ou tous les services Tous les services
Application Une ou toutes les applications Une seule application
Une fois les rôles de base IDM attribués pour la gestion déléguée, il faut les configurer en fonction de la dataroom à utiliser.


Cela se fait via la fonction 'Modifier l'espace de données des rôles'.


le rôle IDM 'DelegatedManager_Permission', le paramètre suivant doit également être configuré: 'Autorisé pour les rôles métier suivants'.

Il s'agit ici de saisir les rôles types définis que l'utilisateur désigné peut/doit hériter.

Sur le rôle IDM 'DelegatedManager_User', il faut également s'assurer que le service (unité) saisi sur le profil correspond au service saisi dans le rôle IDM attribué.

Portail d'administration eIAM