Active Directory : comment donner l’accès à des utilisateurs non techniques ?

Articles
>
IAM - gestion des accès et des identités
>
Active Directory : comment donner l’accès à des utilisateurs non techniques ?
L'Active Directory est un outil extrêmement complet et performant mais que beaucoup utilise uniquement pour des fonctions basiques. Ceux qui gèrent l'AD ne sont donc pas forcément technique et il devient vite fastidieux d'automatiser, sécuriser ses comptes. Je vous propose de voir comment simplifier sa gestion d'Active Directory avec un outil d'IAM.

L’Active Directory ou AD pour les intimes est une base de données et fait le lien entre les utilisateurs et les ressources auxquelles ils souhaitent accéder.

Ce nom évoque soit un outil technique aux possibilités énormes, une mine d’information dans laquelle, avec beaucoup d’expérience, on peut naviguer pour trouver ce que l’on cherche, ou, un cauchemar, des nœuds dans le ventre rien qu’à l’idée de devoir y mettre les mains, un outil austère où rien n’est simple !

Pour ce qui chérisse l’AD, il est peu probable que vous vous retrouviez sur cet article, alors, je vais directement parler à vous autres, pour qui l’AD n’est pas une évidence.

L’Active Directory sans tabou

L’Active Directory est, certes, très utile pour la gestion des comptes utilisateurs mais pas du tout intuitif. Il est très technique, austère, complexe et même dangereux si on supprime des éléments, car il est non tracé. Cela signifie que si quelqu’un supprime un dossier sur l’AD, on ne le saura pas et il faudra aller dans les logs pour retrouver une information. Autant dire que vous passez au niveau expert 😎.

Quel est l’usage de l’AD dans votre entreprise, y a-t-il des experts ?

Pour nombreuses entreprises, l’usage de l’Active Directory se cantonne à une utilisation très basique : la création des comptes et au mieux la suspension de comptes. L’AD est un outil puissant mais très souvent sous-exploité, l’outil est souvent démesuré pour l’usage global.

Peu de gens ont envie de mettre les mains dans le cambouis, et pour certaines informations, il faut en passer par là, sans quoi l’Active Directory se retrouve vite mal géré.

Et même s’il y a des experts…

Les services IT ont aussi d’autres choses à faire que de créer des comptes. Si votre équipe dispose d’un ingénieur ou d’un spécialiste, cette personne aura mieux à faire que de créer des comptes, l’entreprise utilisera ses compétences pour d’autres points plus pertinents.

Tâches informatique à faible valeur ajoutée

Gérer Active Directory sans compétences techniques ?

Quand on pense Active Directory, on associe fréquemment ça avec le service informatique, or, de nombreuses entreprises ne délèguent pas forcément la gestion des créations de comptes à des personnes de l’informatique. On retrouve des offices managers, des personnes des RH ou même des services généraux.

Donc oui, l’AD peut-être géré par des non techniques, mais dans ce cas, l’outil devient une nausée pour ceux qui doivent s’en occuper (trop pointu et une UX/UI très abrupte).

De plus, on ne donne pas accès à l’Active Directory mais à des fonctionnalités de l’AD (création de comptes, suspension, modification …).

L’idée sous-jacente, c’est qu'un spécialiste installe et paramètre l’Active Directory au sein de votre entreprise puis vous donne l’accès à des fonctionnalités mais vous n’allez pas l’appeler au moindre besoin.

Je vais utiliser une métaphore qu’on aime bien chez Youzer, lorsque vous faites construire votre maison, vous faites appelle à un électricien pour mettre en place tout le circuit électrique chez vous, ensuite, vous ne l’appelez pas à chaque fois que vous avez besoin d’allumer la lumière, cela va de soit. Pourquoi ? Tout simplement parce qu’il y a un outil simple et efficace, l’interrupteur !

Pourquoi continuer à gérer des tâches ‘simples’ directement dans l’AD ?

Là, je vais probablement faire grincer des dents, mais que ce soit les techniques ou les non techniques tout le monde a besoin de se faciliter sa gestion de l’AD. Les techniques vont me dire non, on s’en sort très bien et l’outil nous convient. Oui mais.

Oui mais, combien de temps passez-vous à réaliser des actions telles que la modification d’une unité d’organisation, comment monitorez-vous les comptes à privilèges, comment surveillez-vous les doublons, les comptes orphelins et toutes autres anomalies ? Combien de temps vous prend la réconciliation des comptes et toutes actions qui, dès lors, sortent un peu de l’ordinaire, vous font passer par un PowerShell ?

Alors pourquoi, l’ensemble des IT ne seraient pas enclins à utiliser des solutions plus simples pour piloter l’AD ?

Sûrement que les DSI sont très intéressés par ce genre de solutions, car ils y voient un gain de temps pour leurs équipes, une lisibilité et une indépendance par rapport à l’AD (où la dépendance à des compétences techniques est forte).

Les techniques aiment aussi avoir le contrôle sur l’ensemble de l’outil (ce que l’AD permet) et il existe un biais de familiarité où les utilisateurs ont plus confiance dans un produit qu’ils connaissent (même si celui-ci est complexe) que d’aller vers une nouveauté.

Alors voyons comment simplifier cet usage.

Comment simplifier l’utilisation de l’Active Directory ?

Il existe des tas d’outils qui vont vous permettre de piloter l’AD via une solution. Ils vous permettront de réaliser simplement des tâches qui prennent beaucoup de temps sur Active Directory, exemple de tuto, certes, très complets, mais un peu longs de chez Microsoft.

Je vous parlerai ici de l’IAM, quésaco ? L’IAM ou Identity and Access Management est une solution de gestion des utilisateurs, de leurs comptes et de leurs applications. L’IAM est une gestion des habilitations, des droits et des accès.

Une solution d’IAM réalise donc très bien 100% des tâches basiques dont vous avez besoin au quotidien. Selon les solutions, vous pouvez vraiment vite vous retrouver avec des usines à gaz.

En toute logique, vous êtes là pour simplifier l’AD, ça serait bête de partir avec une solution d’IAM ultra complexe 🙃…

Comment fonctionne un IAM ?

Pour comprendre l’intérêt d’un outil d’IAM il faut en comprendre son fonctionnement, l’outil se connecte à votre Active Directory et recueille les informations de vos comptes. Vous pilotez votre AD depuis votre plateforme de gestion des identités et des accès. Grâce à l’installation d’un agent en quelques minutes, vous pouvez créer, suspendre, modifier les comptes, gérer les groupes de sécurité et gérer les unités d’organisation (UO en français et OU en anglais).

Note : vous pouvez via cet outil, intégrer l’ensemble de vos logiciels et applications afin de gérer tous les comptes depuis la plateforme. Un IAM a pour vocation de se connecter à votre SIRH ou votre base RH afin de réconcilier utilisateurs et comptes.

L’outil d’IAM doit avoir une interface friendly utilisateur, une facilité de gestion, une clarté des informations et doit reporter des informations pertinentes pour la gestion des comptes et des utilisateurs.

Une personne non technique évoluera dans un environnement plus fluide, plus moderne avec un système presque ludique pour nettoyer son SI.

L’objectif principal est, rappelons-le, faciliter les créations de comptes, nettoyer son SI et suspendre les comptes. Le tout dans un objectif de satisfaction interne (attribuer les accès aux utilisateurs) et de sécurité pour l’entreprise (des comptes orphelins facilement hackables).

Puisque j’ai commencé avec les biais cognitifs, en voici un autre qui nous intéressent dans notre cas, le spark effect, il est plus problable qu’un utilisateur réalise une action si l’effort est faible à fournir. Un utilisateur non technique sera donc plus enclin à s’occuper sérieusement de vos comptes si l’outil de gestion est pratique et convivial !

Ainsi, chez Youzer on a créé une plateforme sur laquelle vous avez un dashboard qui vous résume vos arrivées et vos départs, les comptes en erreur et qui automatise les créations et suspensions de comptes. Cela invite l’utilisateur de l’IAM à nettoyer ses comptes en erreurs aisément.

De plus, vous avez à chaque connexion un rappel des actions que vous devez mener pour que tout soit en ordre, actions qui ne prennent pas beaucoup de temps. Avouez que ça titille de laisser ça non terminé.

La différence entre l’AD et l’IAM dans une gestion basique :

🙂 l’outil d’IAM vous donne des leviers d’actions.

😣 l’AD vous permet de réaliser des actions mais vous devez tout réaliser à la main ou paramétrer avec un besoin de compétences important.

🙂 Les informations sont déjà analysées et sont reportées de façon lisible.

😣 Les informations sont brutes, à vous de les chercher pour les analyser.

🙂 Les arrivées et les départs sont affichés, les comptes en erreurs sont notifiés, vous êtes informés des actions à mener.

😣 Rien ne pop dans l’Active Directory, tout est là mais vous aurez beaucoup de mal à retrouver vos doublons ou les unités orphelines. Pour les arrivées et départs, c’est parti pour des longs échanges de mails RH/IT.

🙂 Une personne non technique pourra facilement gérer les comptes de son entreprise, de plus, un service client est là pour l’aider en cas de difficultés.

😣 Une personne non technique devra impérativement se former à l’AD avant de le prendre en main sous peine de faire des erreurs plus ou moins grave. Il existe une documentation technique pour l’aider en cas de difficulté.

Curieux d’en savoir plus ? Prenez rdv pour voir comment gérer votre AD avec un outil plus simple !

Active Directory : comment donner l’accès à des utilisateurs non techniques ?
Mélanie Lebrun
Responsable marketing chez Youzer
lire l'article suivant :
Un logiciel pour faire une revue des comptes et des habilitations

Découvrez Youzer, la première plateforme
pour gérer simplement vos utilisateurs et leurs accès

Demander une démoDécouvrir Youzer