Gestion déléguée

Si vous avez des questions ou des attentes concernant la gestion déléguée, n'hésitez pas à contacter l'équipe de la plateforme eIAM :
eIAM-Operations@bit.admin.ch.

eIAM offre une délégation de l'administration des utilisateurs vers l'interne ou l'externe. Dans d'autres systèmes IAM, cette fonctionnalité est appelée attribution déléguée des droits, gestion déléguée des utilisateurs ou administration déléguée.

Objectif de la gestion déléguée

La gestion déléguée a pour objectif de décentraliser la gestion de l'attribution des autorisations et de diriger la gestion là où se trouve le savoir-faire en matière de changement. La gestion déléguée se divise en 3 aspects principaux qui peuvent être gérés et autorisés individuellement.
  • Unités
    • Élément structurant sur la base duquel les utilisateurs à autoriser peuvent être regroupés.
    • Elément à partir duquel la gestion déléguée peut être répartie
  • Utilisateur
    • Correspond au sujet à autoriser dans le mandant Access
    • Peut être préparé par la gestion déléguée (la connaissance du sujet et de ses besoins est déjà connue)
    • Reçoit une invitation d'onboarding
    • Peut avoir différents profils spécifiques à l'unité
  • Autorisations
    • Sont attribuées sous forme de rôles IDM (par ex. DelegAdmin) et de rôles métier
    • Peuvent avoir des attributs
    • Sont différenciées entre
      • autorisations d'utilisation (utilisation des rôles d'une application spécialisée)
      • autorisations de gestion (gérer/attribuer des rôles)
Remarque
La gestion déléguée ne signifie pas nécessairement que la gestion doit être entièrement décentralisée. Cela n'a de sens que si une structure correspondante est utilisable du côté du client (p. ex. entreprises ou cantons comme clients).

Avantages de la gestion déléguée

  • La gestion des unités, des utilisateurs et des autorisations peut être organisée de manière plus efficiente et plus efficace.
    • La gestion se fait là où se trouve la connaissance des changements
    • Pas de votes et de vérifications inutiles
    • La gestion décentralisée réduit la charge de travail pour chaque manager, car les tâches sont déléguées à un cercle de responsabilité plus large.
    • Grande autonomie et flexibilité des unités administratives décentralisées (p.ex. entreprises, cantons)
  • Pré-approvisionnement par le biais de l'onboarding de masse (Bulk-Onboarding) des utilisateurs avec attribution possible de droits d'accès aux rôles IDM
    • Possibilité d'embarquement plus rapide de l'utilisateur
    • Pas de temps d'attente pour les utilisateurs finaux
    • IDM DelegAdmin Attribution des rôles lors du Bulk-Onboarding
  • Décentralisation jusqu'à l'utilisateur final (cercle tiers, comme les entreprises et les cantons)
    • Les changements (nouvelles entrées, sorties et mutations) sont représentés plus rapidement, car la responsabilité est déléguée (plus de procédure de déclaration)
    • Elimination de la communication basée sur des formulaires concernant les mutations
  • Gestion spécifique et proprement limitée de l'unité, des utilisateurs et des autorisations
    • La gestion des permissions, des unités et des utilisateurs, peut être attribuée individuellement et spécifiquement grâce aux rôles IDM de DelegAdmin (DelegatedManager_User, DelegatedManager_Subunit, DelegatedManager_Permission, DelegatedManager_DelegMgmt_Permission)
    • Il est également possible de définir le numéro du téléphone portable des utilisateurs comme champ obligatoire dans le mandant Access (Strict-Onboarding)

Inconvénients de la gestion déléguée

  • Travail supplémentaire initial pour la mise en place de mécanismes de contrôle
  • La responsabilité reste à l'office. -> Recommandation: Réglementation contractuelle entre l'office et le cercle des tiers (indemnisation)

Important
L'aspect organisationnel est l'aspect le plus important dans la gestion déléguée. La fonctionnalité technique est presque évidente, mais la mise en place des structures organisationnelles nécessaires à cet effet nécessite une planification et une préparation minutieuses, en ce qui concerne la mise à disposition initiale des structures UNIT et des Rôles. Ces structures doivent être analysées dans le cadre du déploiement et, sur la base du concept final, soit définies de manière initiale et/ou, le cas échéant, être adapter en conséquence..

Recommandation
Pour introduire la gestion déléguée, nous recommandons de lancer un petit projet ou de la traiter comme un aspect à part entière d'un projet en cours.

Évaluation des aptitudes et des besoins

Avant de commencer les activités liées à la gestion déléguée, il est utile de vérifiér les aptitudes et les besoins pour la fonction. Voici quelques points qui parlent pour ou contre la gestion déléguée. Ces critères permettent d'évaluer les besoins dans le cadre d'un entretien de conseil préalable entre le bénéficiaire de prestations (office) et le fournisseur de prestations (OFIT).

Adapté à la gestion déléguée

  • Structure de gestion décentralisée pour les utilisateurs et les autorisations
    • Les utilisateurs peuvent être répartis dans différentes structures d'unités (par ex. entreprises, cantons, etc.)
    • La connaissance des changements (nouvelles entrées, sorties et mutations) est disponible dans ces structures de gestion décentralisées
    • La connaissance des autorisations nécessaires (besoin de rôles) est disponible dans ces structures administratives décentralisées.
  • Responsabilité technique décentralisée pour les applications
    • Les différentes responsabilités techniques pour les applications et leurs espaces de données se trouvent dans des structures de gestion décentralisées (par ex. dans les services spécialisés).
    • La connaissance des autorisations nécessaires (besoin de rôles) se trouve dans ces structures de gestion décentralisées
  • Besoin élevé de vérification pour l'attribution des autorisations
    • Attribution restrictive des autorisations avec processus de vörification
    • Connaissance spécifique de l'utilisateur nécessaire pour l'attribution des autorisations
  • Séparation des tâches entre la saisie des utilisateurs et l'attribution des autorisations
    • Les utilisateurs sont gérés par exemple par les RH ou un cercle de tiers (p. ex. entreprises, cantons)
    • Les autorisations sont attribuées par les responsables techniques
Inadapté à la gestion déléguée
  • La structure des quantités est trop petite pour une gestion décentralisée
    • La quantité soit d'utilisateurs à gérer, soit de rôles à attribuer est trop faible
    • La combinaison est déterminante et doit être évaluée en fonction de la situation. Il n'y a pas de vérité et de clarté absolues ici
  • Pas de structures d'autorisation décentralisées
    • Il manque des structures d'autorisation organisationnelles (unités) et/ou spécialisées (plusieurs applications et/ou espaces de données)
    • La combinaison est déterminante et doit être évaluée en fonction de la situation. Il n'y a pas de vérité et de clarté absolues ici

Comment activer la gestion déléguée ?

Pour pouvoir utiliser la gestion déléguée des utilisateurs d'eIAM, veuillez vous adresser à votre Account Manager à l'OFIT.
  1. Le mandant eIAM (Accessmandant) auquel est connectée l'application qui a besoin de la gestion déléguée doit être adapté une seule fois. Les applications qui y sont déjà connectées continuent à fonctionner comme avant, même si elles n'utiliseront pas la gestion déléguée.
  2. L'OFIT met en place une unité maître pour l'application qui doit utiliser la gestion déléguée.
  3. L'OFIT convient avec le client d'une formation sur la création d'unités, de gestionnaires délégués, etc. et l'aide à concevoir la structure de l'unité et à la mettre en œuvre concrètement (saisie).
L'OFIT prévoit un plafond de coûts de 10 jours pour ces 3 paquets de travail, qui seront facturés en fonction du travail effectif.

Pour les applications qui travaillent déjà avec eIAM et qui souhaitent utiliser la gestion déléguée ultérieurement, il faut en faire la demande par Remedy.

Pour les nouvelles intégrations, la gestion déléguée est commandée dans le dossier eIAM, les 10 jours sont représentés dans le contrat de service.

Delegated Management Insights (Video)
×
La gestion déléguée d'eIAM a été utilisée dans le cadre du certificat Covid. Cette vidéo sur le certificat Covid vous donne un aperçu de la gestion déléguée d'eIAM (Version anglaise).