workflow-api-webservice-synchronisation-comment-construire-une-gestion-des-identites-en-2023.pdf

Workflow, api, webservice,
synchronisation comment construire
une gestion des identités libre en 2023
Benoit - Mortier
10 mai 2023 – presqu’île de Giens
Workflow, api, webservice, synchronisation comment construire une gestion des identités libre en 2023 CSIESR 2023

Benoit Mortier

Fondateur et CEO de
FusionDirectory

Spécialiste de la gestion
des identités
AGENDA DE LA CONFÉRENCE
1. Présentation de la société FusionDirectory
2. Automatiser le cycle de vie des identités
3. FusionDirectory : Le Lego(tm)
de la gestion des
identités
4. Une API qui favorise l’extensibilité
5. Un webservice REST pour s’intégrer
6. Cas Concrets
7. Le Futur : un workflow modulaire
8. Références

Présentation de la
société FusionDirectory

Présentation de la société FusionDirectory
● Éditeur de FusionDirectory
● Expert sur les logiciels Libres de gestion des identités
● Spécialisé dans la création de workflow complexes
● Expert Enseignement Supérieur et Recherche, SupAnn, PARTAGE,
Sinaps
● Service de support 1er
, 2ème, 3ème niveau
● Formation sur les logiciels libres de gestion des identités

Automatiser le cycle de
vie des identités

Des workflow complexes à simplifier
● La demande de données fiables et récentes est aujourd’hui un impératif
majeur
● Une simplification et automatisation des processus de données doit réduire le
travail et le nombre d’étapes nécessaires ainsi que le nombre d’applicatifs
intermédiaires
● Le nombre d’actions manuelles doit être limité pour éviter les erreurs
humaines
● De nombreux acteurs on besoin d’accéder à la gestion des identités pour
réaliser leur taches quotidiennes

De nombreuses sources de données
● Les sources de données sont souvent multiples et variés.
● Les base de données métiers contiennent l’ensemble des informations de
vérité pour construire le compte numérique d’un utilisateur.
● Le cycle de vie du compte numérique d’un utilisateur est intimement lié au
changements réalises dans les bases de données métiers.
● L’on doit aussi intégrer les comptes numériques d’utilisateur externes mais
non présent dans les bases de données métiers
● Il est important que chaque donnée utilisé dans la création d’un compte
numérique vienne d’un source de vérité, acte administratif, contrat

La bonne gestion du cycle de vie
● La création et la mise a jour des comptes est globalement bien géré
● La désactivation est souvent mal conçue et dépend d’action semi-manuelle
● La désactivation ne prend généralement pas en compte les différents actions
nécessaire comme
● Archivage du home
● Désactivation et archivage de la boite de messagerie
● Assurance que tout les droits on bien été enlevés dans les applications
externes non lapidifiés
● Archivage du compte numérique au regard de la RGPD
● Archivage du compte numérique au regard de la nom réutilisation de
certaines données sensible, email, uid, samAccountName etc...

FusionDirectory : Le Lego(tm)
de
la gestion des identités

FusionDirectory : Le Lego(tm)
de la gestion des identités
● Gestion utilisateurs, groupes, rôles, courriel, dhcp, dns, cyrus, postfix
● Gestion des systèmes et des outils de déploiement FAI, OPSI
● Support complet SupAnn 2018, Sinaps Amue, PARTAGE de RENATER
● Contrôle d’accès fin pour délégation de tâches
● Modèles personnalisables pour l’approvisionnement des données
● Triggers sur action d’édition, modification, effacement, vérification
● Webservice REST
● Support CAS, LemonLDAP::NG, WebAuthn, Yubico

Utilisateurs, groupes, rôles
●
Création d'utilisateurs, de groupes et de rôles
●
Gestion de mot de passe standard ou basé sur ppolicy
●
Modèles utilisateur, création des utilisateurs pré-configurés
●
Importation et création en bloc avec prise en charge de modèles
●
Snapshots, restaure les entrées après modification
●
Copier coller pour la création facile de nouveaux utilisateurs, groupes

Modèles et macros
● Définissez précisément comment les attributs seront construits,
majuscules, minuscules, première lettre d'un attribut + 4 lettres d'un
autre attribut etc..
● Remplissez des attributs en fonction de la valeur d’autres attributs
● Générer des mots de passe aléatoires suivant un ensemble de règles
● Calculer la date et l'heure d'expiration du compte
● Et bien plus encore ...

Modèles et macros

Délégation : le système de contrôle d’accès
● Donner des droits sur le contenu de FusionDirectory à d'autres
utilisateurs que l'administrateur
● Cacher les données non accessibles en ne montrant à l’utilisateur que
ce qu’il est autorisé à voir
● Permettre à un chef de projet d'éditer les utilisateurs de son équipe.
● Avoir une vue en lecture seule

Délégation : Vue admin versus vue manager

Délégation : le système de de contrôle d’accès

Les triggers sont nos amis
● Il existe de nombreux cas où on désire déclencher des actions après la
création, la modification ou la vérification de données
● Dans le cas de FusionDirectory, une liberté totale est laissée en ce qui
concerne l’écriture des triggers
● Cela peut être utilisé pour appeler d’autres webservices ou déclencher
des processus de synchronisation avec d’autres applicatifs
Étape 2 :
Exécution des
triggers
Étape 1 :
Création du
compte
Étape 3 :
insertion dans
ActiveDirectory

Une API qui favorise
l’extensibilité

L’api de FusionDirectory : simplePlugin
Historiquement Gosa2
l’ancêtre de FusionDirectory n’avait pas d’api mais des fonctions
disparates, pas prévues pour évoluer et ne formait pas un ensemble complet.
Lors des réflexion autour de la naissance de FusionDirectory, la question d’une API propre
s’est imposé.
Parmi ses fonctionnalités les plus importantes on retrouve :
● Faciliter via une couche d’abstraction le stockage dans un annuaire LDAP
● Construire automatiquement l’interface graphique de manière simple et automatique
● Gérer automatiquement les acls de FusionDirectory sans écrire de code supplémentaire
● Fournir un ensemble d’attributs du plus simple au plus complexe pour simplifier l’écriture
de plugin gérant des données complexes

Possibilités offertes par les plugins
Les plugins permettent de formaliser et harmoniser les données stockés au sein de
FusionDirectory
● Ajouter un onglet à un type d’objet existant
● Ajouter un nouveau type d’objet et sa page de gestion
● Ajouter une méthode de messagerie
● Ajouter un nouveau type de service pour les serveurs
● Ajouter un format d’exportation
● Ajouter une section dans certains onglets spéciaux
Toutes ces données deviennent directement disponible à travers le webservice REST

Un webservice REST pour
s’intégrer

Le webservice REST
● Le webservice REST permet l’intégration de la gestion des identités avec
des applications tierces de manière plus fluide.
● L’utilisation des modèles permet de construire des process de
provisionnement qui valident les données.
● Le déclenchement des triggers permet des actions supplémentaires

La spécification OpenAPI
● Le webservice REST propose un fichier au format OpenAPI qui liste les
opérations disponibles
● Certains clients supportent directement ce format pour générer des
requêtes
● La documentation officielle est générée depuis ce fichier et disponible
sur https://rest-api.fusiondirectory.org
● Le fichier est disponible depuis votre installation, les champs sont
dynamiquement adapté pour refléter votre configuration :
● https://<hote>/fusiondirectory/rest.php/v1/openapi.json

Exemples d’appels au webservice
GET /objects/user?base=ou=branche,dc=example,dc=com
➔ { "uid=login,ou=people,dc=example,dc=com": "login" }
GET /objects/user/uid=login,ou=people,dc=example,dc=com/posixAccount/uidNumber
➔ 1012
PUT /objects/user/uid=login,ou=people,dc=example,dc=com/posixAccount/uidNumber
1000
➔ uid=login,ou=people,dc=example,dc=com

Exemples d’appels au webservice
GET /types/user/mailAccount
{ "sections": {
"main": {
"name": "Mail account",
"attrs": [
"mail",
"gosaMailServer",
"gosaMailQuota"
]
},
…
}

Cas Concrets

● Synchronisation des utilisateurs & Groupes de OpenLDAP vers Samba 4
● FusionDirectory est utilisé pour les créations / modifications / suppression d’utilisateurs et
de groupes
● FusionDirectory lance LSC grâce à ses triggers lors d’une création, modification d’un
utilisateur ou d’un groupe et propage les modifications vers Samba 4

Synchronisation d’utilisateurs et de groupes
Utilisateurs
Trigger
LDAP Synchronization Connector
S

● Utiliser les webservices de FusionDirectory et les modèles afin de provisionner les
utilisateurs par type dans toute leur complexité
● Propager les mots de passe dans 3 ActiveDirectory différents
● Créer les fiches de contact utilisateurs Office 365

Workflow de création d’identités numériques
Étudiants
Personnels
Webservice
Contrôle d’accès
Synchronisation mot de passe
Création d’utilisateurs
Création Fiche Office 365

● Utiliser les webservices de FusionDirectory et les modèles afin de provisionner les
utilisateurs par type dans toute leur complexité
● Utiliser les webservices de unicampus et FusionDirectory afin de propager les numéros
de badges lors de leur création
● Utiliser les webservices de FusionDirectory afin d’archiver les comptes en fonction des
statuts du cycle de vie

Workflow de création d’identités numériques
Étudiants
Vacataires
Groupes et Classes
Personnels
Synchro
Webservice Contrôle d’accès
Application des modèles
✔
Mail
✔
SupAnn
✔
SupAnn cycle de vie
✔
SupAnn carte multi services

Création de badges d’accès
Webservice
FusionDirectory
Contrôle d’accès
Insertion du numéro de série
du badge de l’utilisateur
✔
SupAnn carte multi services
unicampus
Webservice UNI
Envoi des informations du badge
unicampus
Webservice UNI
Dépôt de la photo du badge par
Un utilisateur des RH

Le Futur : Workflow Modulaire

Gérer des workflow sur mesure
La partie workflow depuis les base métiers et vers d’autres applications et bien couverte
fonctionnellement.
Mais la partie workflow interne a FusionDirectory est inexistante actuellement.
Il y a une demande croissante sur la possibilité d’agir de manière automatise sur des événements
en fonction des données présente dans la gestion des identités
● La désactivation automatique de certaines ressources en fonction de date de fin de validité
● L’approbation de compte crées automatiquement ou par une certaine catégorie de personnel
● De déclencher automatiquement les actions de gestion de compte (création, activation,
désactivation, suppression, …) en fonction de l’état de la ressource

Une première version de notre moteur de taches a été développe avec le soutien de TelecomSud
Paris
● Un moteur générique de tache à été conçu
● Un système de modèle de mail à été intégré a FusionDirectory
● FusionDirectory Orchestrator : Un ordonnancer muni d’endpoint REST
● FusionDirectory Integrator : Une série de libraires modulaire pour réaliser les opération de
base niveau

Références
● FusionDirectory : https://www.fusiondirectory.org/
● Support et Services : https://www.fusiondirectory.org/services/
● Abonnements : https://www.fusiondirectory.org/abonnements-fusiondirectory/
● Documentation : https://www.fusiondirectory.org/documentation/
● Forge logicielle : https://gitlab.fusiondirectory.org/
● Nos webinaires : https://app.livestorm.co/fusiondirectory

workflow-api-webservice-synchronisation-comment-construire-une-gestion-des-identites-en-2023.pdf

Recommended

Recommended

More Related Content

Similar to workflow-api-webservice-synchronisation-comment-construire-une-gestion-des-identites-en-2023.pdf

Similar to workflow-api-webservice-synchronisation-comment-construire-une-gestion-des-identites-en-2023.pdf (20)

More from Benoit Mortier

More from Benoit Mortier (13)

workflow-api-webservice-synchronisation-comment-construire-une-gestion-des-identites-en-2023.pdf