Passer au contenu

L’annuaire d’entreprise: la fusion du sésame et du coffre-fort

L’annuaire LDAP simplifie considérablement la gestion des droits d’accès aux applications. Exemple chez Renault, où le projet touche aussi à la sécurité de l’information.

Aujourd’hui, un salarié de Renault qui se connecte à son poste de travail n’utilise qu’un seul identifiant et un seul mot de passe pour accéder aux différentes applications dont il a besoin. Il y a trois ans, il lui fallait un identifiant et un mot de passe pour chacune d’entre elles. Entre-temps, l’Arca (Annuaire Renault de contrôle d’accès) a été mis en place pour gérer l’identification des personnes et les droits d’accès aux applications web, répondant au besoin de simplifier la gestion des droits à un moment où le nombre d’applications augmentait considérablement. Avec, à la clé, de nombreux problèmes possibles : augmentation du coût d’exploitation, difficulté de maintenir les droits à jour ou saisies multiples avec risques d’erreur.

Venu du net, LDAP s’est naturellement imposé

L’une des premières fonctions de l’Arca est la synchronisation des mots de passe. Elle est réalisée grâce au PUMMP (point universel de modification du mot de passe). L’utilisateur modifie son mot de passe sur une application spécifique, et l’information est transmise aux trois principaux systèmes de sécurité du système informatique de Renault : l’annuaire ACF2 de Computer Associates, l’annuaire LDAP et, enfin, celui de Domino. Ensuite, l’Arca gère les utilisateurs et leurs droits d’accès aux applications web grâce à un annuaire en LDAP (Lightweight Directory Access Protocol), un standard venu du net qui s’est naturellement imposé. Pour cela, l’annuaire est organisé en trois branches gérées séparément : les personnes, avec enregistrement des informations les concernant, les droits et la classification, qui recense les applications et sert aux portails du groupe. La branche des droits est subdivisée en rôles, pour lesquels est défini un ensemble de droits affectés. Pour donner les droits d’accès aux personnes, il ne reste alors plus qu’à faire le lien entre les rôles et les personnes. Ce qui est dévolu aux gestionnaires des applications. Un avantage immédiat de cette organisation est que la définition d’une nouvelle application évite d’avoir à modifier les informations sur les personnes dans l’annuaire. Elle se traduit simplement par la création de nouveaux rôles. De même, tout changement concernant une personne se répercute immédiatement sur l’ensemble des applications concernées. Aujourd’hui, l’annuaire recense 52 000 personnes. Plus de 100 applications et 250 espaces de publication travaillent dessus. Cela représente environ 80 000 entrées et 600 000 requêtes par jour dans la partie centrale. Côté matériel, le stockage des données est assuré par deux serveurs e450 de Sun sous Solaris ?” l’un en maître, l’autre en esclave ?”, obligation liée à la version 4.01 de la solution Directory Server d’iPlanet retenue par Renault. Courant 2002, Renault passera à la version 5.0 de Directory Server, qui permet de travailler en maître-maître. L’intérêt principal de cette version sera l’installation d’un deuxième annuaire maître pour éviter les pertes d’information en cas de panne. “Mais les machines esclaves seront conservées pour des problèmes de performances de l’annuaire”, indique toutefois Witold Klaudel, architecte nouvelles technologies à la direction technique de Renault. Actuellement, l’annuaire est entièrement centralisé en France. Une seule réplication partielle, concernant la branche personnes, existe. Elle sert à la messagerie, qui génère un trafic trop important pour être prise en charge par l’annuaire général. “Mais nous évitons ce type de réplication, car il peut poser des problèmes de cohérence des données. Pour une application ordinaire, nous ne le faisons pas”, commente Witold Klaudel. Une réplication géographique est néanmoins envisagée en Espagne. A côté de l’Arca, l’ACF2, qui servait d’annuaire d’applications traditionnel, continue de fonctionner. “Ce qui marche sous ACF2 y reste. Les applications ont une durée de vie courte. Il ne servirait à rien de dépenser de l’argent pour migrer sous LDAP”, explique Jacek Bialecki, responsable de la cellule centrale d’administration de Renault. En revanche, toute nouvelle application fonctionne obligatoirement avec l’Arca.

Le projet va déboucher sur un méta-annuaire

A court terme, Renault doit donc travailler avec plusieurs types d’annuaires, dont ACF2, Active Directory et l’annuaire de SAP R/3, la synchronisation étant assurée par des modules développés en interne. Un projet de méta-annuaire, qui devrait être lancé à l’automne, synchronisera l’ensemble de manière plus simple et satisfaisante. Renault réfléchit aussi à s’ouvrir à ses partenaires. “Des applications de fournisseurs utiliseront l’annuaire, mais celui-ci ne sera pas visible pour eux”, explique Witold Klaudel. Afin de sécuriser et d’authentifier les personnes, une solution d’infrastructure à clés publiques d’iPlanet a déjà été mise en place pour certaines applications. Mais le maillon faible vient de la messagerie, et Renault étudie les solutions du marché pour sa sécurisation. “C’est important pour nous, car il est facile d’usurper une identité en SMTP.”, explique Witold Klaudel. Parallèlement, Renault étudie aussi la mise en place de la SSO (ou single sign on, pour signature unique). Actuellement, un utilisateur n’a qu’un seul identifiant et un seul mot de passe, mais il doit les entrer à chaque ouverture d’une application. Cela pose des problèmes de plus en plus criants avec la multiplication des portails internes, qui offrent des accès rapides aux applications. “Les solutions que l’on nous propose apportent toujours des fonctions dont nous n’avons pas besoin. Nous voulons une simple brique, pas un système entier”, indique Witold Klaudel. A terme, l’aboutissement idéal du projet est la création d’une carte à puce par salarié, qui permettrait l’accès aux locaux de l’entreprise et la connexion au système informatique. “Car il n’y a pas de différence réelle entre l’accès aux bâtiments et l’accès aux applications”, conclut Witold Klaudel.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Corinne Montculier