1. Workflow, api, webservice,
synchronisation comment construire
une gestion des identités libre en 2023
Benoit - Mortier
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023
2. Benoit Mortier
Fondateur et CEO de
FusionDirectory
Spécialiste de la gestion
des identités
AGENDA DE LA CONFÉRENCE
1. Présentation de la société FusionDirectory
2. Automatiser le cycle de vie des identités
3. FusionDirectory : Le Lego(tm)
de la gestion des
identités
4. Une API qui favorise l’extensibilité
5. Un webservice REST pour s’intégrer
6. Cas Concrets
7. Le Futur : un workflow modulaire
8. Références
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023
3. Présentation de la
société FusionDirectory
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023
4. Présentation de la société FusionDirectory
● Éditeur de FusionDirectory
● Expert sur les logiciels Libres de gestion des identités
● Spécialisé dans la création de workflow complexes
● Expert Enseignement Supérieur et Recherche, SupAnn, PARTAGE,
Sinaps
● Service de support 1er
, 2ème, 3ème niveau
● Formation sur les logiciels libres de gestion des identités
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023
5. Automatiser le cycle de
vie des identités
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023
6. Des workflow complexes à simplifier
● La demande de données fiables et récentes est aujourd’hui un impératif
majeur
● Une simplification et automatisation des processus de données doit réduire le
travail et le nombre d’étapes nécessaires ainsi que le nombre d’applicatifs
intermédiaires
● Le nombre d’actions manuelles doit être limité pour éviter les erreurs
humaines
● De nombreux acteurs on besoin d’accéder à la gestion des identités pour
réaliser leur taches quotidiennes
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023
7. De nombreuses sources de données
● Les sources de données sont souvent multiples et variés.
● Les base de données métiers contiennent l’ensemble des informations de
vérité pour construire le compte numérique d’un utilisateur.
● Le cycle de vie du compte numérique d’un utilisateur est intimement lié au
changements réalises dans les bases de données métiers.
● L’on doit aussi intégrer les comptes numériques d’utilisateur externes mais
non présent dans les bases de données métiers
● Il est important que chaque donnée utilisé dans la création d’un compte
numérique vienne d’un source de vérité, acte administratif, contrat
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023
8. La bonne gestion du cycle de vie
● La création et la mise a jour des comptes est globalement bien géré
● La désactivation est souvent mal conçue et dépend d’action semi-manuelle
● La désactivation ne prend généralement pas en compte les différents actions
nécessaire comme
● Archivage du home
● Désactivation et archivage de la boite de messagerie
● Assurance que tout les droits on bien été enlevés dans les applications
externes non lapidifiés
● Archivage du compte numérique au regard de la RGPD
● Archivage du compte numérique au regard de la nom réutilisation de
certaines données sensible, email, uid, samAccountName etc...
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023
9. FusionDirectory : Le Lego(tm)
de
la gestion des identités
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023
10. FusionDirectory : Le Lego(tm)
de la gestion des identités
● Gestion utilisateurs, groupes, rôles, courriel, dhcp, dns, cyrus, postfix
● Gestion des systèmes et des outils de déploiement FAI, OPSI
● Support complet SupAnn 2018, Sinaps Amue, PARTAGE de RENATER
● Contrôle d’accès fin pour délégation de tâches
● Modèles personnalisables pour l’approvisionnement des données
● Triggers sur action d’édition, modification, effacement, vérification
● Webservice REST
● Support CAS, LemonLDAP::NG, WebAuthn, Yubico
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023
11. Utilisateurs, groupes, rôles
●
Création d'utilisateurs, de groupes et de rôles
●
Gestion de mot de passe standard ou basé sur ppolicy
●
Modèles utilisateur, création des utilisateurs pré-configurés
●
Importation et création en bloc avec prise en charge de modèles
●
Snapshots, restaure les entrées après modification
●
Copier coller pour la création facile de nouveaux utilisateurs, groupes
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023
12. Modèles et macros
● Définissez précisément comment les attributs seront construits,
majuscules, minuscules, première lettre d'un attribut + 4 lettres d'un
autre attribut etc..
● Remplissez des attributs en fonction de la valeur d’autres attributs
● Générer des mots de passe aléatoires suivant un ensemble de règles
● Calculer la date et l'heure d'expiration du compte
● Et bien plus encore ...
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023
13. Modèles et macros
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023
14. Délégation : le système de contrôle d’accès
● Donner des droits sur le contenu de FusionDirectory à d'autres
utilisateurs que l'administrateur
● Cacher les données non accessibles en ne montrant à l’utilisateur que
ce qu’il est autorisé à voir
● Permettre à un chef de projet d'éditer les utilisateurs de son équipe.
● Avoir une vue en lecture seule
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023
15. Délégation : Vue admin versus vue manager
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023
16. Délégation : le système de de contrôle d’accès
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023
17. Les triggers sont nos amis
● Il existe de nombreux cas où on désire déclencher des actions après la
création, la modification ou la vérification de données
● Dans le cas de FusionDirectory, une liberté totale est laissée en ce qui
concerne l’écriture des triggers
● Cela peut être utilisé pour appeler d’autres webservices ou déclencher
des processus de synchronisation avec d’autres applicatifs
Étape 2 :
Exécution des
triggers
Étape 1 :
Création du
compte
Étape 3 :
insertion dans
ActiveDirectory
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023
18. Une API qui favorise
l’extensibilité
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023
19. L’api de FusionDirectory : simplePlugin
Historiquement Gosa2
l’ancêtre de FusionDirectory n’avait pas d’api mais des fonctions
disparates, pas prévues pour évoluer et ne formait pas un ensemble complet.
Lors des réflexion autour de la naissance de FusionDirectory, la question d’une API propre
s’est imposé.
Parmi ses fonctionnalités les plus importantes on retrouve :
● Faciliter via une couche d’abstraction le stockage dans un annuaire LDAP
● Construire automatiquement l’interface graphique de manière simple et automatique
● Gérer automatiquement les acls de FusionDirectory sans écrire de code supplémentaire
● Fournir un ensemble d’attributs du plus simple au plus complexe pour simplifier l’écriture
de plugin gérant des données complexes
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023
20. Possibilités offertes par les plugins
Les plugins permettent de formaliser et harmoniser les données stockés au sein de
FusionDirectory
● Ajouter un onglet à un type d’objet existant
● Ajouter un nouveau type d’objet et sa page de gestion
● Ajouter une méthode de messagerie
● Ajouter un nouveau type de service pour les serveurs
● Ajouter un format d’exportation
● Ajouter une section dans certains onglets spéciaux
Toutes ces données deviennent directement disponible à travers le webservice REST
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023
21. Un webservice REST pour
s’intégrer
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023
22. Le webservice REST
● Le webservice REST permet l’intégration de la gestion des identités avec
des applications tierces de manière plus fluide.
● L’utilisation des modèles permet de construire des process de
provisionnement qui valident les données.
● Le déclenchement des triggers permet des actions supplémentaires
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023
23. La spécification OpenAPI
● Le webservice REST propose un fichier au format OpenAPI qui liste les
opérations disponibles
● Certains clients supportent directement ce format pour générer des
requêtes
● La documentation officielle est générée depuis ce fichier et disponible
sur https://rest-api.fusiondirectory.org
● Le fichier est disponible depuis votre installation, les champs sont
dynamiquement adapté pour refléter votre configuration :
● https://<hote>/fusiondirectory/rest.php/v1/openapi.json
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023
24. Exemples d’appels au webservice
GET /objects/user?base=ou=branche,dc=example,dc=com
➔ { "uid=login,ou=people,dc=example,dc=com": "login" }
GET /objects/user/uid=login,ou=people,dc=example,dc=com/posixAccount/uidNumber
➔ 1012
PUT /objects/user/uid=login,ou=people,dc=example,dc=com/posixAccount/uidNumber
1000
➔ uid=login,ou=people,dc=example,dc=com
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023
25. Exemples d’appels au webservice
GET /types/user/mailAccount
{ "sections": {
"main": {
"name": "Mail account",
"attrs": [
"mail",
"gosaMailServer",
"gosaMailQuota"
]
},
…
}
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023
26. Cas Concrets
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023
27. ● Synchronisation des utilisateurs & Groupes de OpenLDAP vers Samba 4
● FusionDirectory est utilisé pour les créations / modifications / suppression d’utilisateurs et
de groupes
● FusionDirectory lance LSC grâce à ses triggers lors d’une création, modification d’un
utilisateur ou d’un groupe et propage les modifications vers Samba 4
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023
28. Synchronisation d’utilisateurs et de groupes
Utilisateurs
Trigger
LDAP Synchronization Connector
S
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023
29. ● Utiliser les webservices de FusionDirectory et les modèles afin de provisionner les
utilisateurs par type dans toute leur complexité
● Propager les mots de passe dans 3 ActiveDirectory différents
● Créer les fiches de contact utilisateurs Office 365
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023
30. Workflow de création d’identités numériques
Étudiants
Personnels
Webservice
Contrôle d’accès
Synchronisation mot de passe
Création d’utilisateurs
Création Fiche Office 365
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023
31. ● Utiliser les webservices de FusionDirectory et les modèles afin de provisionner les
utilisateurs par type dans toute leur complexité
● Utiliser les webservices de unicampus et FusionDirectory afin de propager les numéros
de badges lors de leur création
● Utiliser les webservices de FusionDirectory afin d’archiver les comptes en fonction des
statuts du cycle de vie
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023
32. Workflow de création d’identités numériques
Étudiants
Vacataires
Groupes et Classes
Personnels
Synchro
Webservice Contrôle d’accès
Application des modèles
✔
Mail
✔
SupAnn
✔
SupAnn cycle de vie
✔
SupAnn carte multi services
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023
33. Création de badges d’accès
Webservice
FusionDirectory
Contrôle d’accès
Insertion du numéro de série
du badge de l’utilisateur
✔
SupAnn carte multi services
unicampus
Webservice UNI
Envoi des informations du badge
unicampus
Webservice UNI
Dépôt de la photo du badge par
Un utilisateur des RH
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023
34. Le Futur : Workflow Modulaire
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023
35. Gérer des workflow sur mesure
La partie workflow depuis les base métiers et vers d’autres applications et bien couverte
fonctionnellement.
Mais la partie workflow interne a FusionDirectory est inexistante actuellement.
Il y a une demande croissante sur la possibilité d’agir de manière automatise sur des événements
en fonction des données présente dans la gestion des identités
● La désactivation automatique de certaines ressources en fonction de date de fin de validité
● L’approbation de compte crées automatiquement ou par une certaine catégorie de personnel
● De déclencher automatiquement les actions de gestion de compte (création, activation,
désactivation, suppression, …) en fonction de l’état de la ressource
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023
36. Gérer des workflow sur mesure
Une première version de notre moteur de taches a été développe avec le soutien de TelecomSud
Paris
● Un moteur générique de tache à été conçu
● Un système de modèle de mail à été intégré a FusionDirectory
● FusionDirectory Orchestrator : Un ordonnancer muni d’endpoint REST
● FusionDirectory Integrator : Une série de libraires modulaire pour réaliser les opération de
base niveau
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023
37. Gérer des workflow sur mesure
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023
38. Gérer des workflow sur mesure
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023
39. Références
● FusionDirectory : https://www.fusiondirectory.org/
● Support et Services : https://www.fusiondirectory.org/services/
● Abonnements : https://www.fusiondirectory.org/abonnements-fusiondirectory/
● Documentation : https://www.fusiondirectory.org/documentation/
● Forge logicielle : https://gitlab.fusiondirectory.org/
● Nos webinaires : https://app.livestorm.co/fusiondirectory
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023