L’Active Directory ou AD pour les intimes est un annuaire d’identités permettant de gérer des comptes et des habilitations pour l’accès aux ressources informatiques de l’entreprise.
Ce nom évoque soit un outil technique aux possibilités énormes, une mine d’informations dans laquelle, avec beaucoup d’expérience, on peut naviguer pour trouver ce que l’on cherche, ou, un cauchemar, des nœuds dans le ventre rien qu’à l’idée de devoir y mettre les mains, un outil austère où rien n’est simple !
Pour ceux qui chérissent l’AD, il est peu probable que vous vous retrouviez sur cet article, alors, je vais directement parler à vous autres, pour qui l’AD n’est pas une évidence.
L’Active Directory sans tabou
L’Active Directory est, certes, très utile pour la gestion des comptes utilisateurs mais pas du tout intuitif. Il est très technique, austère, complexe et même dangereux si on supprime des éléments, car il est très difficile de savoir qui a réalisé telle ou telle action. Cela signifie que si quelqu’un supprime un dossier (appelé Unité d’Organisation) sur l’AD, il sera très difficile d’identifier l’auteur de cette suppression à moins d’utiliser un logiciel tiers. Autant dire que vous passez au niveau expert 😎.
Quel est l’usage de l’AD dans votre entreprise, y a-t-il des experts ?
Pour de nombreuses entreprises, l’usage de l’Active Directory se cantonne à une utilisation très basique : la création et la modification des comptes ainsi que la suspension des comptes. L’AD est un outil central dans une entreprise car il est le pilier de l’authentification des applications « on-premise » mais il est très souvent mal exploité, mal entretenu.
Peu de gens ont envie de mettre les mains dans le cambouis, mais pour certaines informations, il faut en passer par là, sans quoi l’Active Directory se retrouve vite mal géré.
Et même s’il y a des experts…
Les services IT ont aussi d’autres choses à faire que de créer des comptes. Si votre équipe dispose d’un ingénieur ou d’un expert, cette personne aura mieux à faire que de créer des comptes, l’entreprise utilisera ses compétences pour d’autres points plus pertinents.
Gérer Active Directory sans compétences techniques ?
Quand on pense Active Directory, on associe fréquemment ça avec le service informatique, or, dans de nombreuses entreprises, la création des comptes ne relèvent pas forcément de l’informatique. On retrouve des offices managers, des personnes des RH ou même des services généraux qui supervisent la gestion administrative et la création des comptes pour un nouvel arrivant par exemple.
Donc oui, l’AD peut-être géré par des personnes n’ayant pas de compétences informatiques, mais dans ce cas, l’outil devient une nausée pour ceux qui doivent s’en occuper (trop pointu et une interface utilisateur très abrupte).
De plus, on ne donne pas accès à l’Active Directory mais à des fonctionnalités de l’AD (création de comptes, suspension, modification …).
L’idée sous-jacente, c’est qu'un spécialiste installe et paramètre l’Active Directory au sein de votre entreprise, puis vous donne l’accès à des fonctionnalités, mais vous n’allez pas l’appeler au moindre besoin.
Je vais utiliser une métaphore qu’on aime bien chez Youzer, lorsque vous faites construire votre maison, vous faites appel à un électricien pour installer le réseau électrique chez vous, mais ensuite, vous ne l’appelez pas à chaque fois que vous avez besoin d’allumer la lumière, cela va de soi. Pourquoi ? Tout simplement parce qu’il y a un outil simple et efficace, l’interrupteur !
Pourquoi continuer à gérer des tâches ‘simples’ directement dans l’AD ?
Là, je vais probablement faire grincer des dents, mais que ce soit les personnes de l’informatique ou des personnes n’ayant pas de compétences informatiques, tout le monde a besoin de se faciliter sa gestion de l’AD. Les spécialistes vont me dire non, on s’en sort très bien et l’outil nous convient. Oui mais.
Oui mais, combien de temps passez-vous à réaliser des actions telles que la modification d’une unité d’organisation ? Comment monitorez-vous les comptes à privilèges ? Comment surveillez-vous les doublons, les comptes orphelins et toutes autres anomalies ? Combien de temps vous prend la réconciliation des comptes et toutes actions qui, dès lors sortent un peu de l’ordinaire, vous font passer par un PowerShell ?
Alors pourquoi, l’ensemble des IT ne seraient pas enclins à utiliser des solutions plus simples pour piloter l’AD ?
Sûrement que les DSI sont très intéressés par ce genre de solutions, car ils y voient un gain de temps pour leurs équipes, une lisibilité et une indépendance par rapport à l’AD (où la dépendance à des compétences techniques est forte).
Les personnes travaillant à l’informatique aiment aussi avoir le contrôle sur l’ensemble de l’outil (ce que l’AD permet) et il existe un biais de familiarité où les utilisateurs ont plus confiance dans un produit qu’ils connaissent (même si celui-ci est complexe) que d’aller vers une nouveauté.
Alors voyons comment simplifier cet usage.
Comment simplifier l’utilisation de l’Active Directory ?
Il existe plusieurs outils qui vont vous permettre de piloter l’AD via une solution intermédiaire. Ils vous permettront de réaliser simplement des tâches qui prennent beaucoup de temps sur Active Directory. Bien sûr, vous allez trouver de la documentation sur Microsoft, mais celle-ci est incroyablement technique (et décourageante pour les moins techniques d’entre nous).
Je vous parlerai ici d’IGA, quésaco ? L’IGA ou Identity Governance and Administration est une solution de gestion des utilisateurs, de leurs comptes et de leurs applications. L’IGA est une gestion des habilitations, des droits et des accès. On pourrait dire que l’IGA qui est la partie administrative de l’IAM.
Une solution d’IGA réalise donc très bien 100% des tâches basiques dont vous avez besoin au quotidien. Selon les solutions, vous pouvez vraiment vite vous retrouver avec des usines à gaz.
En toute logique, si vous êtes là pour simplifier l’AD, ça serait bête de partir avec une solution de gestion des identités et des accès ultra-complexe 🙃…
Vous souhaitez recevoir notre livre blanc sur la gestion des identités et des accès ?
Comment fonctionne un IAM ?
Pour comprendre l’intérêt d’un outil d’IAM il faut en comprendre son fonctionnement, l’outil se connecte à votre Active Directory et recueille les informations de vos comptes.
Vous pilotez votre AD depuis votre plateforme de gestion des identités et des accès. Grâce à l’installation très rapide d’un agent, vous pouvez créer, suspendre, modifier les comptes, gérer les groupes de sécurité et gérer les unités d’organisation (UO en français et OU en anglais).
Note : vous pouvez via un IAM, intégrer l’ensemble de vos logiciels et applications afin de gérer tous les comptes depuis la plateforme. Un IAM a pour vocation de se connecter à votre SIRH ou votre base RH afin de réconcilier utilisateurs et comptes.
L’outil d’IGA doit avoir une interface friendly utilisateur, une facilité de gestion, une clarté des informations et doit reporter des informations pertinentes pour la gestion des comptes et des utilisateurs.
Une personne qui n’a pas de compétences techniques évoluera dans un environnement plus fluide, plus moderne avec un système presque ludique pour maintenir les comptes à jour sur son SI.
L’objectif principal est (rappelons-le) de faciliter les créations de comptes, de nettoyer son SI et de suspendre les comptes. Le tout dans un objectif de satisfaction interne (attribuer les accès aux utilisateurs) et de sécurité pour l’entreprise (suppression des comptes orphelins).
Puisque j’ai commencé avec les biais cognitifs, en voici un autre qui nous intéressent dans notre cas, le spark effect, il est plus problable qu’un utilisateur réalise une action si l’effort est faible à fournir. Un utilisateur sans compétences techniques sera donc plus enclin à s’occuper sérieusement de vos comptes si l’outil de gestion est pratique et convivial !
Ainsi, chez Youzer on a créé une plateforme sur laquelle vous avez un dashboard qui vous résume vos arrivées et vos départs, les comptes en erreur et qui automatise les créations et suspensions de comptes. Cela invite l’utilisateur de l’IAM à nettoyer ses comptes en erreurs aisément.
De plus, vous avez à chaque connexion un rappel des actions que vous devez mener pour que tout soit en ordre, actions qui ne prennent pas beaucoup de temps.
Avouez que ça titille de laisser ça non terminé :
La différence entre l’AD et l’IAM dans une gestion basique :
🙂 l’outil d’IAM vous donne des leviers d’actions.
😣 l’AD vous permet de réaliser des actions mais vous devez tout réaliser à la main ou paramétrer vos actions avec un besoin de compétences important.
🙂 Les informations sont déjà analysées et sont reportées de façon lisible.
😣 Les informations sont brutes, à vous de les chercher pour les analyser.
🙂 Les arrivées et les départs sont affichés, les comptes en erreurs sont notifiés, vous êtes informés des actions à mener.
😣 Rien ne pop dans l’Active Directory, tout est là mais vous aurez beaucoup de mal à retrouver vos doublons ou les unités orphelines. Pour les arrivées et départs, vous êtes bon pour des longs échanges de mails RH/IT.
🙂 Une personne non technique pourra facilement gérer les comptes de son entreprise, de plus, un service client est là pour l’aider en cas de difficultés.
😣 Une personne non technique devra impérativement se former à l’AD avant de le prendre en main sous peine de faire des erreurs plus ou moins grave. Il existe une documentation technique pour l’aider en cas de difficulté.
Curieux d’en savoir plus ? Prenez rdv pour voir comment gérer votre AD avec un outil plus simple !