Autoprovisioning

L'objectif de l'autoprovisioning est qu'un groupe d'utilisateurs défini, dans le contexte de l'entreprise, soit créé à l'avance et doté de droits de base (rôles d'applications et commerciaux de l'office fédérale).

Ainsi, l'attribution des droits pour une ou plusieurs applications est entièrement automatisée et les utilisateurs peuvent se connecter et travailler sans autre effort administratif. Les attributs de base, y compris le statut (actif/inactif/archivé) des utilisateurs dans le compte d'accès, sont automatiquement synchronisés avec le compte racine (Root Account) lors de l'autoprovisioning, ce qui réduit considérablement les frais d'administration et de gestion en cours d'exploitation.

Attributs de base des utilisateurs
×

Les attributs de base suivants des utilisateurs sont automatiquement synchronisés du compte racine vers le compte d'accès (Access Account):
- nom (name)
- Prénom (firstName)
- E-mail (email)
- ligne d'adresse1 (adressLine1)
- ligne d'adresse2 (adressLine2)
- État (status)
- Système source (source system)

Remarque
L'autoprovisioning n'est pas applicable dans le contexte de l'eGovernment avec les citoyens et les représentants de l'économie.

Autoprovisioning
Autoprovisioning

Effets de l'autoprovisioning sur le compte d'accès

  • Avec l'autoprovisioning, les utilisateurs dans l'Access Account sont préconfigurés avec un profil de base par défaut qui contient les rôles d'applications et commerciaux correspondants et créés dans l'unité correspondante.
  • Les données de base des utilisateurs dans l'Access Account se synchronisent automatiquement avec le Root Account.
  • Les nouvelles entrées d'utilisateurs en cours d'utilisation sont également automatiquement provisionnées sur la base de la règle de provisionnement définie, de sorte que l'administrateur délégué compétent n'a plus rien à faire si l'attribution des droits est suffisante. La synchronisation automatique des données de base du Root Account vers le compte d'accès est également assurée ici.
  • Grâce à un concept d'unité clairement défini (structure OU), il est possible de configurer plusieurs instances d'autoprovisioning dans un Access Client, qui contiennent différents utilisateurs, lesquels sont ensuite saisis dans différentes unités. Le risque d'une double saisie des utilisateurs existe et peut conduire à des problèmes. Si vous avez l'intention de configurer plus d'une instance d'autoprovisionnement, veuillez impérativement prendre contact avec le service de conseil eIAM..

Important, à noter !
Les utilisateurs qui sont ajoutés via une interface API (RDM/SOAP) ou via la gestion déléguée ne doivent pas être créés dans la même unité que l'autoprovisioning!

Exemples d'application

  • Si vous voulez préprovisionner automatiquement tous les collaborateurs d'un office, ainsi que les nouveaux collaborateurs en cours, avec des droits de base (rôles).
  • Si vous souhaitez préprovisionner automatiquement l'attribution des droits pour un groupe d'utilisateurs spécifique.

    • Critères de filtrage des groupes d'utilisateurs spécifiques
    ×

    Le système est très flexible en ce qui concerne les critères de filtrage possibles, veuillez prendre contact avec eIAM Consulting à ce sujet.
    ]

Possibilités de filtrage

Les filtres suivants peuvent être utilisés dans la version actuelle afin de créer les groupes cibles suivants d'utilisateurs provisionnés automatiquement. 

Attributs sur l'identité du réseau                          Description
AdminOrganizationalUnitName Uniquement pour les identités fédérées pour lesquelles l'attribut AdminOrganizationalUnitName correspond à la règle définie. Par exemple "Auth et Identity externes"
AdminOUNamePath Uniquement pour les identités fédérées dont l'attribut AdminOUNamePath correspond à la règle définie. p.ex. "Conseil fédéral/Département fédéral des finances/Office fédéral de l'informatique et des télécommunications/Direction/Platform Services/Chapter/Auth and Identity/Auth et Identity externes"
AdminOrganizationNameAbbr Uniquement pour les identités fédérées pour lesquelles l'attribut AdminOUNamePathAttribute correspond à la règle définie. p.ex. " OFIT"
EmployeeType Uniquement pour les identités fédérées dont l'EmployeeType correspond à la règle définie, par exemple "External"

Les attributs mentionnés ci-dessus sont listés sur l'identité fédérée. Si d'autres filtres spéciaux sont nécessaires lors d'intégrations, ils pourront être intégrés dans de futures versions si cela s'avère nécessaire et judicieux. 

Aperçu des identités dans eIAM, unité, profils et rôles

Identités dans eIAM et unités, profils et rôles
Identités dans eIAM et unités, profils et rôles

Valeur ajoutée de l'autoprovisioning

  1. Onboarding automatique de masse avec attribution de rôles sans interaction de l'utilisateur (l'utilisateur ne doit pas encaisser de code d'onboarding).
  2. La synchronisation entre le compte racine et le compte d'accès, pour les utilisateurs ainsi préprovisionnés, y compris les nouveaux entrants, est assurée.
  3. Les comptes d'utilisateurs dans le client d'accès sont à la disposition des administrateurs sans activités d'onboarding supplémentaires.
  4. Les départs et les arrivées d'utilisateurs en cours d'utilisation sont automatiquement archivés ou ajoutés et le statut est actualisé.
  5. Optimisation des travaux d'administration et d'exploitation.

Commande Autoprovisioning

Pour les applications qui travaillent déjà avec eIAM et qui souhaitent utiliser l'autoprovisioning ultérieurement, il faut le commander par Remedy. Pour les nouvelles intégrations, la gestion déléguée est commandée dans le dossier eIAM.

Conséquences financières pour les clients

L'autoprovisioning n'a aucune conséquence financière pour le client, car il constituera à l'avenir un élément central d'une intégration.