• Article

Gestion des identités

Générer un flux de travail de mise en service à étape unique

Aung Oo

 

Vue d'ensemble:

  • Utilisation de MIISWorkflow
  • Mise en œuvre et configuration
  • Extension de MIISWorkflow

Si cela fait un certain temps que vous recherchez une interface Web permettant la demande et l’approbation de comptes et que votre organisation utilise Microsoft Identity Lifecycle Manager 2007 (ILM 2007, anciennement Microsoft Identity Integration Server 2003),

alors l’application MIISWorkflow pourrait vous fournir une solution simple et efficace. MIISWorkflow fait partie du MIIS 2003 Resource Tool Kit 2.0 et est disponible depuis décembre 2004. Bien que ce ne soit pas nécessairement une solution complète pour chaque environnement, c’est un bon point de départ pour générer une application personnalisée qui convient aux besoins de votre organisation.

MIISWorkflow fournit des fonctionnalités de mise en service basées sur les approbations pour ILM 2007 en intégrant une application Web. C’est un système de mise en service à étape unique basé sur les flux de travail qui accepte les demandes des utilisateurs et les dirige vers des approbateurs (généralement des gestionnaires) dotés de l’autorité suffisante pour prendre des décisions concernant des demandes spécifiques. En fonction de la décision de l’approbateur, ILM procède à la mise en service du compte utilisateur dans les annuaires connectés à l’aide des règles métier définies dans ILM.

Cette application peut seulement faciliter un flux de travail à étape unique ; elle ne peut pas créer de fonctionnalités complexes, telles qu’un processus d’approbation à étapes multiples avec des chemins parallèles ou un processus de flux de travail avec une interface graphique. Si votre organisation ne nécessite pas ces fonctionnalités complexes de flux de travail, vous pouvez utiliser l’échantillon MIISWorkflow fourni par le MIIS Resource Tool Kit pour mettre une solution en place.

Je me concentrerai ici sur le service Ressources humaines d’une entreprise fictive. En général, les systèmes RH sont la source faisant autorité pour toutes les informations concernant les employés d’une organisation donnée. Cependant, si ces systèmes ont d’habitude des données détaillées pour les employés permanents, ils manquent souvent d’informations sur les travailleurs temporaires, tels que les fournisseurs et les étudiants-stagiaires. Les données contenues dans un système RH ne suivent pas forcément quels utilisateurs du système disposent d’un accès, y compris les informations de comptes utilisateur. Je vous montrerai comment générer un système de suivi simple pour les travailleurs temporaires au sein d’une organisation.

S’appuyer sur MIISWorkflow

Les organisations peuvent profiter du MIISWorkflow, notamment en créant une application qui fonctionne conjointement aux systèmes RH existants. Lorsqu’un nouvel employé est engagé, les informations utilisateur sont ajoutées au système RH. Vous pouvez concevoir des flux ILM qui envoient des informations à la base de données MIISWorkflow, puis utiliser l’application de flux de travail pour diriger ces informations utilisateur vers les approbateurs avant qu’ILM ne mette en service le compte dans les annuaires connectés.

Si votre organisation n’utilise pas de système RH pour suivre les travailleurs temporaires, l’application MIISWorkflow peut servir de source de données faisant autorité afin de gérer leurs comptes dans les annuaires d’entreprise. Puisque l’application de flux de travail réduit la paperasserie administrative requise pour l’obtention des approbations, les utilisateurs n’ont pas à attendre plusieurs jours pour accéder à des comptes dans les annuaires et les applications. Vous pouvez également utiliser MIISWorkflow pour activer la révocation rapide des accès, améliorant ainsi la sécurité de l’organisation.

MIISWorkflow peut également être utilisé comme outil d’audit pour suivre le nombre de systèmes auxquels un utilisateur peut accéder, les dates de demande et d’arrêt pour chaque compte, ainsi que le demandeur et l’approbateur de chaque compte. La capacité à produire des rapports avec un historique de compte détaillé peut faciliter la conformité d’une organisation aux lois réglementaires, telles que Sarbanes-Oxley et HIPAA.

L’application MIISWorkflow fonctionne sous IIS et utilise les fonctions d’intégration des annuaires et de mise en service d’ILM 2007 pour mettre les comptes en service ou les arrêter dans les annuaires connectés. Les composants de l’application de flux de travail incluent un ensemble de pages Web ASP.NET, une base de données SQL Server™, un agent de gestion et une banque de stratégies d’autorisation (voir la figure 1). L’application utilise SQL Server pour le stockage de données, Active Directory® pour l’authentification et une banque de stratégies avec Windows® Authorization Manager (plus connu sous le nom d’AzMan) pour l’autorisation.

Figure 1 Architecture de l’application MIISWorkflow

Figure 1** Architecture de l’application MIISWorkflow **(Cliquer sur l'image pour l'agrandir)

L’application peut être étendue et personnalisée en utilisant C# et ASP.NET. MIISWorkflow se compose de ces cinq pages .aspx : Approbation du fournisseur, historique du fournisseur, demande du fournisseur, état du fournisseur et mise à jour du fournisseur. Ces pages permettent aux administrateurs de demander, mettre à jour, approuver et suivre l’état de chaque compte utilisateur du système. Notez que, par défaut, l’application MIISWorkflow est définie pour utiliser IIS Integrated Windows Authentication afin de tirer parti de Kerberos.

L’application de flux de travail déclenche ILM en fonction de l’action de l’approbateur, puis ILM met en service ou arrête les comptes utilisateur des annuaires connectés à l’aide des règles définies. Tout de suite après qu’une action ait été prise sur la demande, l’application déclenche ILM, ce qui permet aux demandes de ne pas attendre le cycle de synchronisation suivant d’ILM pour effectuer une mise en service ou un arrêt dans les annuaires connectés.

L’application de flux de travail exige que la base de données MIISWorkflow stocke les informations des comptes utilisateur. Ceci est distinct de la base de données où ILM stocke les informations du métaverse, mais il est configuré sur la même instance SQL Server. Lorsque les utilisateurs autorisés demandent un compte via l’application de flux de travail, les informations sont enregistrées par MIISWorkflow. Les informations s’affichent ensuite par le biais d’une page Web ASP.NET lorsqu’un approbateur accède à la page. MIISWorkflow stocke également des historiques d’actions et d’autres informations concernant le compte dans la base de données. ILM importe ces informations de la base de données MIISWorkflow en utilisant un agent de gestion SQL Server fourni avec l’application et met en service ou arrête le compte, selon le cas.

AzMan, utilisé par MIISWorkflow pour l’autorisation, fournit le contrôle d’accès basé sur les rôles (RBAC) pour gérer des tâches que les utilisateurs sont autorisés à exécuter dans l’application en fonction des rôles qui leur sont attribués. (Voir go.microsoft.com/fwlink/?LinkId=85825 pour plus d’informations sur RBAC). Après l’authentification d’un utilisateur dans Active Directory (ce qui donne accès à ce dernier) l’application de flux de travail vérifie les rôles définis dans la banque d’autorisations d’AzMan afin d’autoriser les opérations qu’un utilisateur peut exécuter. Il y a deux rôles prédéfinis pour l’application : Demandeur de fournisseur et approbateur de fournisseur. Les utilisateurs ou les groupes dotés du rôle de demandeur de fournisseur peuvent seulement insérer une demande via l’application, mais ceux dotés du rôle d’approbateur de fournisseur peuvent créer des demandes et les approuver ou les refuser.

La stratégie d’autorisation de l’application MIISWorkflow est stockée dans un fichier XML. Les utilisateurs et groupes de Windows, ou bien les groupes d’application peuvent être attribués à des rôles définis. Les groupes d’application permettent à une demande LDAP d’effectuer une vérification du service d’exécution de l’objet de compte Active Directory ou Active Directory Application Mode (ADAM) d’un utilisateur en fonction de la valeur de l’attribut ; l’utilisateur est dans le groupe, de telle sorte que (department=‘marketing’), par exemple, renvoie la valeur true.

Description de l’application

Les administrateurs d’application contrôlent l’accès à l’application à l’aide d’AzMan. Selon la façon dont est utilisée l’application dans votre organisation, vous pouvez accorder un rôle de demandeur de fournisseur à tous les utilisateurs du domaine ou seulement à certains groupes. Le rôle d’approbateur de fournisseur doit seulement être accordé aux utilisateurs et aux groupes qui disposent de l’autorité pour approuver ou refuser des demandes. Ce sont généralement les administrateurs RH sélectionnés, de même que les administrateurs système et de groupe, qui possèdent ce rôle. Par défaut, l’application MIISWorkflow utilise l’authentification Windows intégrée IIS comme méthode d’authentification, pour que l’application authentifie les utilisateurs via leurs informations d’identification du bureau de Windows (ceci signifie que les utilisateurs ne seront pas à nouveau invités à donner leurs informations pour s’authentifier auprès de l’application).

Un utilisateur dans le rôle de demandeur de fournisseur peut faire pointer le navigateur vers la page de demande de fournisseur dans les informations de candidature et d’offre concernant ce dernier, afin de demander un compte pour ce fournisseur. La figure 2 montre la page de demande de fournisseur.

Figure 2 Page Nouvelle demande de fournisseur

Figure 2** Page Nouvelle demande de fournisseur **(Cliquer sur l'image pour l'agrandir)

La personne occupant le rôle de demandeur remplit les informations pertinentes concernant le fournisseur et envoie la demande. Il y a un lien pour approuver les demandes et un autre pour vérifier l’état de la page, mais les demandeurs ne peuvent pas accéder à la page de l’approbateur, à moins qu’ils occupent également le rôle d’approbateur de fournisseur. Un demandeur peut cliquer sur le lien État du fournisseur pour afficher ses propres demandes, mais ne pourra pas afficher l’état des demandes envoyées par d’autres.

Seul un approbateur de fournisseur a accès à la page d’approbation de fournisseur de l’application, où il peut approuver ou refuser la demande après avoir examiné les informations. La figure 3 montre l’interface de la page Web Approbation de fournisseur.

Figure 3 Page Approbation de fournisseur

Figure 3** Page Approbation de fournisseur **(Cliquer sur l'image pour l'agrandir)

Un approbateur de fournisseur peut voir les demandes envoyées par tous les demandeurs. Tout approbateur de fournisseur peut approuver la demande, une seule approbation ou un seul refus étant nécessaire pour diriger la demande vers l’étape suivante. La demande disparaîtra de la page d’approbation de fournisseur une fois que l’approbateur aura réalisé l’action nécessaire. Ceci réduit les actions d’approbation redondantes.

Pour examiner de nouvelles demandes et prendre les mesures nécessaires sur les demandes en attente suivant les exigences de l’organisation, un approbateur doit régulièrement accéder à la page d’approbation de fournisseur, car il n’y a pas de mécanisme de notification dans l’application indiquant à l’approbateur l’existence de nouvelles demandes ou d’un journal. Dès que l’approbateur approuve ou refuse la demande provenant de cette page, l’application déclenche ILM et les comptes sont mis en service ou arrêtés dans les annuaires connectés en fonction de l’action de l’approbateur.

Figure 4 Page État du fournisseur

Figure 4** Page État du fournisseur **(Cliquer sur l'image pour l'agrandir)

L’état des demandes en attente et les enregistrements des demandes achevées peuvent être suivis sur la page État du fournisseur (voir la figure 4). Un demandeur peut entreprendre plusieurs actions à partir de cette page. Vous pouvez afficher vos propres demandes, y compris des informations telles que l’identifiant d’un employé, son prénom, nom, service, état et dernière date de modification. Vous pouvez également modifier les informations existantes, afficher l’historique et arrêter le compte d’un fournisseur. Vous pouvez modifier le prénom, le nom et le service, ainsi qu’envoyer à nouveau ces informations pour approbation. Pour finir, vous pouvez afficher un journal des actions prises sur la demande, de même que la date et l’heure de chacune d’entre elles à partir de la page Historique du fournisseur (voir la figure 5).

Figure 5 Page Historique du fournisseur

Figure 5** Page Historique du fournisseur **(Cliquer sur l'image pour l'agrandir)

Grâce à l’application MIISWorkflow, l’arrêt des comptes est transparent, car elle permet à un demandeur de mettre fin aux comptes d’un fournisseur à partir de la page État du fournisseur. Le demandeur peut cliquer sur le lien Arrêter pour immédiatement désactiver ou supprimer les comptes de fournisseur dans les annuaires connectés. L’avantage de cette capacité à mettre fin aux comptes de fournisseur à partir de l’application de flux de travail est que les administrateurs système n’ont pas à chercher les comptes de fournisseur dans chaque annuaire et à les supprimer manuellement. Puisque l’application MIISWorkflow déclenche tout de suite ILM pour arrêter ces comptes dans les annuaires connectés, il n’y a pas de décalage dans la suppression de ces comptes.

Configuration de l’application

La configuration de l’application MIISWorkflow implique la définition d’un compte de service et de la base de données de l’application, la configuration d’ILM pour travailler avec l’application de flux de travail, ainsi que celles d’IIS et de la banque de stratégies. Pour simplifier ce processus, l’application contient des scripts et des fichiers de configuration prégénérés.

L’application MIISWorkflow est fournie avec un fichier de requêtes T-SQL visant à faciliter le processus de création d’une base de données MIISWorkflow. Vous pouvez charger le fichier de requêtes dans l’Analyseur de requêtes et exécuter la requête pour automatiquement créer la base de données.

La configuration d’IIS implique la création d’un nouvel ensemble d’applications IIS et d’un annuaire virtuel, ainsi que la définition d’une authentification et d’un contrôle d’accès pour héberger les pages ASP.NET. L’application est également fournie avec un fichier XML doté de rôles prédéfinis pour configurer une banque de stratégies d’autorisation. Vous pouvez attribuer des utilisateurs et des groupes à des rôles existants et créer de nouveaux rôles à l’aide du MMC d’AzMan.

L’étape finale consiste à configurer l’agent de gestion d’ILM pour extraire des données de la base de données MIISWorkflow et les exporter vers ILM. Pour ce faire, vous devez importer la configuration de l’agent de gestion dans le fichier XML et copier un fichier d’extension prégénéré pour l’agent de gestion SQL Server. Le fichier XML et le fichier d’extension de l’agent de gestion sont tous deux fournis avec l’application. Un fichier Lisezmoi, accompagné d’instructions détaillées, explique la configuration de chacune de ces étapes.

Extension de l’application

L’application MIISWorkflow constitue un point de départ pour le développement d’une intégration de flux de travail simple avec MIIS et vous devrez peut-être effectuer quelques opérations de personnalisation pour étendre cette application. Outre les simples modifications, telles que celles apportées aux pages Web, il existe de nombreuses autres façons d’étendre cette application.

Vous pourriez ajouter une fonctionnalité de notification pour qu’un approbateur puisse recevoir un message électronique lorsqu’il y a une demande en attente. Cette fonctionnalité pourrait également envoyer un message de rappel à l’approbateur, après un certain nombre de jours, si aucune action n’a été effectuée sur la demande. Si les informations sur les utilisateurs fournies par la page par défaut ne sont pas suffisantes, vous pouvez ajouter des champs à la page de demande de fournisseur, ainsi qu’à la page de mise à jour de fournisseur. Vous pouvez ajouter d’autres rôles à l’application, comme un rôle d’auditeur qui permettrait à un utilisateur de voir l’historique de chaque demande, et pas seulement celles qui ont été envoyées.

Les fonctionnalités de flux de travail plus complexes, telles qu’un flux de travail à étapes multiples et la capacité à concevoir un flux de travail à l’aide d’un concepteur graphique, débordent du cadre de cette application. Cependant, vous pouvez utiliser Windows Workflow Foundation pour développer une application plus robuste avec des fonctionnalités de flux de travail complexes.

Vous trouverez le MIIS Resource Tool Kit sur go.microsoft.com/fwlink/?Link­Id=85829. Téléchargez-le dès aujourd’hui et commencez à générer vos propres solutions de flux de travail sur les identités.

Aung Oo est un expert technique de la gestion des identités pour Microsoft Consulting Services (MCS). Aung conçoit, développe et déploie des solutions d’annuaires d’entreprise et de gestion des identités pour des clients à la fois commerciaux et gouvernementaux depuis la première version de Microsoft Identity Management

© 2008 Microsoft Corporation et CMP Media, LLC. Tous droits réservés. Toute reproduction, totale ou partielle, est interdite sans autorisation préalable.