SAP Idm : un nouvel outil pour la gestion des comptes informatiques

par Alexandre Roy, informatique scientifique, Ci-UNIL

Chaque personne travaillant ou étudiant à l’UNIL obtient un compte informatique et une boîte aux lettres électronique. Le Centre informatique doit ainsi gérer environ 22’000 comptes. L’outil effectuant cette gestion a été remplacé au début du mois de mars 2012 par le logiciel SAP Idm.


© NLshop – Fotolia.com

L’outil

L’ancien système de Gestion des utilisateurs (Gestu) était intégré aux applications de l’intranet administratif. Il comportait quelques problèmes de fonctionnement et utilisait une technologie mourante (WebDataBlade). Il était couplé à un ensemble de programmes (Perl, Java, C#) qui introduisaient les comptes dans les annuaires LDAP, dans l’Active Directory et dans les serveurs de messagerie. Le nouveau logiciel remplace donc Gestu et cet ensemble de programmes. Ceci permet une architecture plus simple et, nous l’espérons, plus robuste.

L’accès à cet outil est réservé aux membres du helpdesk et aux opérateurs du Ci. En suivant les liens de la page www.unil.ch/ci/acces, les utilisateurs y accèdent indirectement par des formulaires pour :

  • activer son compte
  • changer son mot de passe
  • demander un nouveau mot de passe
  • obtenir des informations sur son compte,

Les comptes informatiques et les accès

Un compte informatique est composé d’un nom d’utilisateur et d’un mot de passe. Chacun appartient à une unité informatique qui permet de classer les comptes par type de personne (étudiant, membre du personnel, membre du CHUV, de la BCU, …).

A chaque compte, il est possible d’attribuer des accès. Pour l’instant, le Centre informatique gère les 5 types d’accès suivants :

  1. Identification sur les systèmes de l’UNIL
    Il s’agit de l’accès de base permettant de s’authentifier sur toutes les ressources demandant le nom d’utilisateur et le mot de passe (WiFi, serveurs web, serveurs de fichiers, système Windows, …)
  2. Boîte email UNIL
  3. Applications de l’intranet administratif
  4. Service de calcul
    C’est le service de calcul haute performance (HPC) du Ci
  5. Applications SAP

L’accès no 5 n’est pas encore totalement intégré à SAP Idm, par contre les 4 autres partagent le même nom d’utilisateur et le même mot de passe. Ils sont indépendants, il est possible par exemple d’avoir l’accès boîte email UNIL sans avoir identification sur les systèmes de l’UNIL et vice versa. La seule contrainte est pour l’accès applications de l’intranet administratif, pour lequel il est nécessaire d’avoir l’accès no 1.

Création des comptes

Une grande partie des comptes sont créés automatiquement. En particulier lorsqu’un étudiant confirme son inscription à l’UNIL, il acquiert le statut pré-inscrit. La nuit suivant ce changement de statut, un compte est créé automatiquement avec les accès identification sur les systèmes de l’UNIL et boîte email UNIL. Pour les membres du personnel obtenant un contrat de travail avec l’UNIL, un compte est créé automatiquement dès que le contrat est saisi dans le système informatique, mais au plus tôt dix jours avant la date de début du contrat.

Pour les autres personnes (CHUV, BCU, …), les comptes ne peuvent être traités automatiquement. Elles doivent remplir un formulaire PDF disponible sur la page www.unil.ch/ci/acces pour obtenir un compte. Ces demandes sont ensuite traitées manuellement au Ci.

Chaque matin, le système imprime une lettre pour chaque compte créé dans la journée précédente. Cette lettre (figure 1) contient le nom d’utilisateur, le mot de passe, l’adresse email et les accès ouverts. Ces lettres sont expédiées par poste dans la journée : à l’adresse privée pour les étudiants et à l’adresse professionnelle pour les membres du personnel.


Figure 1

Messages email envoyés aux utilisateurs par le système

Message de bienvenue : lors de la création d’un compte avec l’accès boîte email UNIL (figure 2).


Figure 2

Message informant l’utilisateur du changement de son adresse email : le changement de nom, de prénom ou de rattachement administratif peut impliquer la modification de l’adresse email de l’utilisateur (figure 3).


Figure 3

Message informant de l’ajout d’un accès : lorsque l’utilisateur possède déjà un accès, il est avisé par email de l’ajout d’un autre accès (figure 4).


Figure 4

Message notifiant l’utilisateur du prochain blocage de son compte : pour les étudiants et les employés qui quittent l’UNIL, leur compte est bloqué 6 mois après leur départ. Un mois avant le blocage, ils en sont avertis par un message email (figure 5).


Figure 5

Gestion du mot de passe

Lorsque l’utilisateur reçoit son mot de passe initial par la poste, il doit débloquer (activer) son compte en acceptant la charte informatique de l’UNIL sur la page www.unil.ch/ci/charte.

La page www.unil.ch/ci/pass permet de changer son mot de passe. Pour des raisons de sécurité, il est nécessaire de changer le mot de passe initial reçu par la poste. De plus, nous demandons à chaque utilisateur de changer son mot de passe régulièrement, au minimum tous les deux ans.

Si l’utilisateur a oublié son mot de passe, ou si son compte a été piraté, il peut demander le changement de son mot passe (voir la page www.unil.ch/ci/pass).

Conclusion

Le nouveau système de gestion des utilisateurs SAP Idm est en fonction depuis le 15 mars 2012. Après quelques corrections mineures, le système est stabilisé. L’ouverture automatique des comptes et l’impression des lettres sont opérationnels. Le help desk et les opérateurs du Ci utilisent journellement cet outil. Plusieurs travaux sont prévus pour la suite :

  1. nettoyage des données (comptes sans date de blocage, comptes inutilisés, …).
  2. implémentation de l’authentification forte.
  3. gestion des accès aux applications SAP.