Comment créer son référentiel d'utilisateurs

Articles
>
Gestion des utilisateurs
>
Comment créer son référentiel d'utilisateurs
Un utilisateur est une personne physique qui a une relation contractuelle avec l'entreprise et à qui on peut donner des accès à des ressources informatiques.

Erreur n°1 : confondre le SIRH avec le référentiel utilisateur

"Vous pouvez me donner la liste de tous les collaborateurs s'il vous plait ?". Ca c'est la demande que la DSI envoie au service RH pour avoir un état des utilisateurs dans l'entreprise.

Dans cette demande il y a 2 problèmes : la demande est adressée au service RH et on parle de "collaborateurs".

Pourquoi est ce un problème ? Parce que ce référentiel RH n'est que partiel. Les service RH gèrent généralement les collaborateurs internes, ceux qui font partie d'un process de recrutement et qui ont une fiche de paye.

En demandant l'information au service RH, on créée un angle mort sur une partie parfois non négligeable d'utilisateurs : les intérimaires, les prestataires extérieurs, les consultants etc...

Les utilisateurs (au sens SI du terme) ne sont pas que les collaborateurs : les intérimaires ou freelances par exemple ont une relation contractuelle avec l'entreprise et doivent régulièrement avoir accès aux applications internes. Il faut donc gérer ces catégories "bord RH" qui sont des utilisateurs absents du SIRH.

Erreur n°2 : se servir d'un référentiel d'identités comme référentiel d'utilisateurs

Au sein de la DSI, la question se pose donc : comment avoir la liste de tous les utilisateurs RH et non-RH actuellement présents dans l'entreprise ?

Et là l'idée jaillit comme un cri de victoire : "on a déjà un endroit où on stocke tous les utilisateurs ! C'est l'AD !"

Au delà du fait qu'en hurlant cette phrase on confond "utilisateurs" (personnes physiques) et "identités" (comptes d'accès), il est très dangereux d'utiliser un outil technique comme l'AD pour centraliser les utilisateurs : si on veut utiliser ce référentiel pour déterminer la légitimité des habilitations pour les utilisateurs, c'est un peu le serpent qui se mord la queue.

L'Active Directory n'est pas fait pour ça, il ne faut pas tordre son utilisation d'origine pour faire rentrer tous les utilisateurs dedans. Quid par exemple d'un intérimaire que l'on va saisir dans l'AD pour déclarer son arrivée, mais qui n'a pas besoin de compte AD ?

L'AD n'est pas une source RH et encore moins une "golden source" (il contient de nombreux comptes systèmes qui devraient être exclus pour avoir une liste propre).

Enfin ce n'est généralement pas une base de données "ouverte" : difficile de synchroniser ou d'importer d'autres sources de données RH qui existeraient dans l'entreprise.

Qu'est ce qu'un référentiel d'utilisateurs ?

C'est la vrai question : qu'est ce qu'un référentiel d'utilisateurs ?

Un référentiel utilisateur est une liste qui contient les données administratives de tous les utilisateurs qui ont une relation contractuelle avec l'entreprise.

Il doit être :

  • à jour en permanence.
  • multi-source (données provenant du ou des SIRH et provenant des déclaration intérimaires venant des manager par exemple).
  • compatible avec plusieurs technologies d'imports (csv, bdd etc...)
  • contenir tous les attributs nécessaire aux arbitrages sur les habilitations : les plus évidents sont date d'arrivée et date de départ (pour savoir s'il est autorisé ou pas à avoir des habilitations), puis la fonction, le service de rattachement ... pour définir plus précisément quelles habilitations (droits d'accès...) il est autorisé à avoir.

Comment construire un référentiel d'utilisateurs ?

  • identifier les sources d'information

La première source d'information est généralement le SIRH : il s'agit de la "golden source" qui contient les informations contractuelles donc considérées comme fiables.

Les autres utilisateurs sont souvent connus pas les manager : un intérimaire qui rejoint une équipe est déclaré par le manager qui connaît toutes les informations nécessaires à la création des comptes de cet utilisateur : date d'arrivée, date de départ, fonction etc... Pour simplifier le travail du manager, il vaut mieux lui donner un moyen de transmettre les données de manière structurée. S'il doit envoyer un mail ou créer un ticket, il sera plongé dans une grande perplexité : quelles informations communiquer ? De quoi ont ils besoin à la DSI pour créer les accès ?

Il vaut mieux lui donner un formulaire à remplir dans lequel toutes les informations peuvent être saisies, cela limitera les allers-retours entre la DSI et le manager.

  • normaliser la saisie

Il n'est pas nécessaire d'avoir 50 informations concernant un utilisateur pour pouvoir lui créer ses accès, donc n'en demandez pas trop au SIRH ou aux manager dans le formulaire que vous leur mettez à disposition.

Ce qui est important et de pouvoir se contenter du minimum nécessaire et d'adapter les informations demandées : les champs à saisir pour un intérimaire ou un freelance ne sont pas les mêmes que pour un collaborateur qui arrive en CDI.

Il faut aussi donner des choix multiples à la saisie plutôt que des champs libre, cela permet de normaliser les informations et d'avoir un référentiel propre.

  • automatiser les imports

Ce point est la pierre angulaire de la constitution d'un référentiel : l'automatisation. Si la mise à jour du référentiel est manuelle, ces mises à jour seront lourdes, d'une régularité aléatoire. Il faut donc automatiser les imports à partir des sources RH.

  • traiter les exceptions

Un dernier point est le traitement des anomalies ou des exceptions : les doublons, vrais homonymes, multi contrats, changement de contrat (un intérimaire qui passe en CDI...). C'est points doivent être traités dans le référentiel : soit en amont dans le SIRH, soit directement dans le référentiel pour qu'il reste de qualité.

C'est à partir d'un référentiel d'utilisateurs fiable et à jour que vous pourrez construire votre stratégie de gestion des identités et des accès.

François Poulet
Product Manager

Découvrez Youzer, la première plateforme
pour gérer simplement vos utilisateurs et leurs accès

Demander une démoDécouvrir Youzer