Trusted Provider


L'accès à Product name - ev sas.png est sécurisé par la saisie d'un login/mot de passe. Cette authentification peut être déléguée à un Trusted Provider (tiers de confiance). Dans ce cas :

  • la boîte de login affichée est celle du Trusted Provider ;
  • l'utilisateur est recherché dans la base de données du Trusted Provider via son login/mot de passe : s'il existe, son accès est ensuite validé via la gestion des accès Product name - ev sas.png ;
  • si l'utilisateur a également accès à Product name - ev itsm.png, une synchronisation des équipes (teams) peut s'effectuer automatiquement avec certaines informations clés : suivant la configuration du Trusted Provider, il peut s'agir de ses groupes et/ou son profil et/ou des informations remontées via une requête SQL (ex. : sa langue).

Ce procédé permet de laisser au Trusted Provider la création des utilisateurs dans Product name - ev sas.png, au lieu de les ajouter manuellement : tout nouvel utilisateur autorisé accédant pour la première fois à Product name - ev sas.png est créé automatiquement ; il est ensuite rattaché aux équipes correspondant aux informations clés gérées via la configuration du Trusted Provider, ce qui lui donne accès aux applications suivant les droits.

Principe de fonctionnement

Le schéma ci-dessous détaille le fonctionnement d'un Trusted Provider basé sur Product name - ev itsm.png. Le principe est le même pour un Trusted Provider SSO ou LDAP.

         Trusted provider - Process.png

1. Connexion d'un utilisateur à Product name - ev sas.png via son login/mot de passe d'Product name - ev itsm.png.

2. L'utilisateur existe dans Product name - ev itsm.png. Son adresse e-mail (qui doit être unique) est recherchée dans Product name - ev sas.png pour effectuer une synchronisation automatique :

  • (1) L'adresse e-mail existe :
    • L'utilisateur est réaffecté aux équipes selon la configuration du Trusted Provider.
       
  • (2) L'adresse e-mail n'existe pas :
    • l'utilisateur est automatiquement créé avec le profil simple utilisateur par défaut (le profil peut être modifié par l'administrateur de la plateforme).
    • suivant la configuration du Trusted Provider, la synchronisation des équipes est effectuée avec certaines informations clés de l'utilisateur : groupes et/ou profil et/ou valeur(s) d'une requête SQL ;
    • les équipes sont rattachées à l'utilisateur, ce qui lui donne accès aux applications rattachées (suivant les droits définis pour chacune d'entre elles).

3. L'utilisateur n'existe pas dans Product name - ev itsm.png. Il est alors redirigé vers la page de connexion d'Product name - ev sas.png. Son login (e-mail)/mot de passe est recherché dans Product name - ev sas.png :

  • (1) L'utilisateur existe : l'accès à Product name - ev sas.png est autorisé et il a accès à toutes les applications auxquelles il a droit.
  • (2) L'utilisateur n'existe pas : l'accès à Product name - ev sas.png est refusé.

Exemple

Product name - ev itsm.png gère 300 groupes et 50 profils. De plus, via les champs libres sur la fiche Utilisateur, 10 fonctions sont gérées.

  • Synchronisation via les groupes ==> jusqu'à 300 équipes peuvent être créées
  • Synchronisation via les profils ==> jusqu'à 50 équipes peuvent être créées

Des requêtes SQL sont utilisées pour restreindre le nombre d'équipes.

     1. Création des équipes via un champ libre de la table Employés :

SELECT available_field_1
FROM   am_employee
WHERE  employee_id = @@ID@@  

     2. Création des équipes à partir de la langue de connexion de l'utilisateur :

SELECT l.language_system_alias_en
FROM   am_language l
      INNER JOIN am_employee e
              ON l.language_id = e.language_id
WHERE  e.employee_id = @@ID@@  

Remarques

  • Le lien entre Product name - ev itsm.png et Product name - ev sas.png se fait via l'adresse e-mail de l'utilisateur. Celle-ci doit donc être unique pour que l'identification puisse se faire.
  • La création de l'utilisateur et de toutes les opérations de synchronisation se font de façon transparente à chaque connexion à Product name - ev sas.png.
  • Synchronisation des équipes :
    • Elle s'effectue uniquement pour des équipes créées initialement via une synchronisation.
    • Les équipes créées manuellement ne sont jamais synchronisées.
  • Informations clés dans Product name - ev itsm.png sur lesquelles peut s'effectuer la synchronisation :
    • Groupes :
      • plusieurs groupes sont possibles pour chaque utilisateur ; 
      • la synchronisation s'effectue sur le libellé anglais du groupe.
    • Profil :
      • un seul profil est possible pour chaque utilisateur ; 
      • la synchronisation s'effectue sur le GUID.
    • Toute autre information remontée via une requête SQL :
      • la synchronisation s'effectue sur les valeurs retournées par la requête.

        Example documentation icon FR.png 

        • Synchronisation via la valeur du champ libre 1 de la fiche Utilisateur : AM_EMPLOYEE.AVAILABLE_FIELD_1
        • Synchronisation via la langue de connexion de l'utilisateur : AM_LANGUAGE.LANGUAGE_SYSTEM_ALIAS_EN

Attention

  • Si vous utilisez la version On Premise d'Product name - ev itsm.png et la version SaaS d'Product name - ev sas.png, vous devez modifier vous-même le paramètre permettant la synchronisation des profils -  Open url.png voir Procédure

Best Practice big icon.pngBonnes pratiques

  • Ne modifiez pas les équipes synchronisées, qui sont gérées automatiquement à chaque connexion d'un utilisateur.
  • Utilisez une requête SQL lorsque le nombre de groupes / profils est important : recherchez une valeur permettant de restreindre le nombre d'équipes par synchronisation.
          Open url.png  voir Exemple
  • Si vous changez une information clé d'Product name - ev itsm.png non synchronisée via le GUID, une nouvelle équipe est créée et non modifiée. Dans ce cas, vous devez redéfinir les droits d'accès aux applications pour cette nouvelle équipe.
  • Pour gérer un droit d'accès public, utilisez l'équipe Everyone qui comporte implicitement tous les utilisateurs pouvant accéder à la plate-forme.
  • Pour définir la gestion des accès aux applications avant leur publication, initialisez toutes les équipes auxquelles elles sont rattachées via des utilisateurs types possédant les informations clés de la synchronisation. Ainsi vous évitez d'attendre que les équipes soient créées par synchronisation au fur et à mesure de la connexion des utilisateurs à Product name - ev sas.png.
          Open url.png  voir Procédure

Procédures

 

Comment mettre en place la synchronisation des équipes via un Trusted Provider

1. À l'installation de Product name - ev sas.png, définissez avec le support Logo - EasyVista.png les informations clés Product name - ev itsm.png à utiliser pour la synchronisation des équipes : groupes, profils, valeurs remontées par une requête SQL.

2. Allez dans Product name - ev itsm.png et créez les utilisateurs possédant les informations clés sur lesquelles vous souhaitez effectuer la synchronisation :

  • Synchronisation via les groupes : créez un seul utilisateur et associez-lui tous les groupes à synchroniser avec une équipe.
  • Synchronisation via les profils : créez autant d'utilisateurs qu'il y a de profils à synchroniser avec une équipe, et rattachez chacun d'entre eux à l'un des profils.
  • Synchronisation via une requête SQL : créez autant d'utilisateurs qu'il y a de valeurs à synchroniser avec une équipe, en saisissant pour chacun d'entre eux l'une des valeurs.

    Example documentation icon FR.png 

    • fiche Utilisateur 1 : Langue = Français
    • fiche Utilisateur 2 : Langue = Anglais

3. Initialisez les équipes dans Product name - ev sas.png :

  • Connectez-vous à Product name - ev sas.png  avec le login/mot de passe Product name - ev itsm.png du 1er utilisateur.
  • Automatiquement, dans Product name - ev sas.png :
    • l'utilisateur est créé ;
    • une équipe est créée pour chaque information clé :
      • synchronisation via les groupes : une équipe est créée pour chaque groupe ;
      • synchronisation via les profils : une équipe est créée pour le profil ;
      • synchronisation via une requête SQL : une équipe est créée pour la valeur renvoyée par la requête.

4. Pour une synchronisation via les profils et/ou une requête SQL, initialisez les autres équipes à partir des autres utilisateurs. Pour chacun d'entre eux :

  • déconnectez-vous d'Product name - ev sas.png ;
  • reconnectez-vous avec un nouvel utilisateur : l'équipe correspondant à la nouvelle information clé est créée.

5. Définissez les droits d'accès aux applications pour chacune des équipes.

6. Vérifiez que chaque nouvel utilisateur se connectant à Product name - ev sas.png a accès automatiquement aux applications définies pour ses équipes.

Comment paramétrer la synchronisation des profils avec la version On Premise d'Product name - ev itsm - big.pngev|Service Manager

1. Allez sur le répertoire /www/APPS_XXXX_X_X/Trusted Provider/trustedprovider.ini de votre serveur web.

2. Ouvrez le fichier trustedprovider.ini.

3. Modifiez la ligne Profiles=0 en passant la valeur à 1.

Profiles=1

4. Donnez les autorisations d'accès du profil aux applications une fois que les utilisateurs se sont connectés.

Note : La synchronisation des profils Product name - ev itsm.png n'est pas immédiate. Ils sont créés dans Product name - ev sas.png au fur et à mesure qu’un utilisateur ayant un profil XXX se connecte.

Autres exemples

Configuration du Trusted Provider avec une synchronisation par groupes et profils

Utilisateur Configuration dans 1ère connexion à Connexion suivante à
Product name - ev itsm.png Product name - ev sas.png Product name - ev sas.png Product name - ev sas.png
Z Pas d'accès Pas d'accès
  • Accès à Product name - ev sas.png refusé
Y Pas d'accès Utilisateur rattaché à l'équipe Hotliner créée par synchronisation
  • Accès à Product name - ev sas.png autorisé
  • Droits d'accès aux applications de l'équipe Hotliner
  • Aucun accès aux données d'Product name - ev itsm.png
X

Profil : Hotliner

Groupes : Support USA ; Support EN

L'équipe Hotliner existe (créée par synchronisation)
  • Accès à Product name - ev sas.png autorisé
  • Création de l'utilisateur
  • Synchronisation profil / équipes : l'équipe Hotliner existe déjà
  • Synchronisation groupes / équipes : création des équipes Support USA et Support EN
  • L'utilisateur devient rattaché aux 3 équipes
  • Ajout des droits d'accès aux applications de l'équipe Hotliner
  • Accès aux données d'Product name - ev itsm.png
X Changement du profil Hotliner en profil Support Utilisateur rattaché aux équipes Hotliner, Support USA, Support EN (déjà effectuée) Synchronisation profil / équipes :
  • création d'une équipe Support
  • l'utilisateur est rattaché à l'équipe Support et est détaché de l'équipe Hotliner
  • ajout des droits d'accès aux applications de l'équipe Support
  • suppression des droits d'accès aux applications de l'équipe Hotliner
X Ajout d'un groupe Expert réseau L'utilisateur est rattaché aux équipes Support, Support USA, Support EN (déjà effectuée)

Synchronisation profil / équipes :

  • l'équipe Support existe déjà

Synchronisation des groupes / équipes :

  • création de l'équipe Expert réseau
  • l'utilisateur devient rattaché à l'équipe Expert réseau
X Suppression du groupe Support EN Utilisateur rattaché aux équipes Support, Support USA, Support EN, Expert réseau (déjà effectuée)

Synchronisation profil / équipes :

  • l'équipe Support existe déjà

Synchronisation groupes / équipes :

  • l'utilisateur est détaché de l'équipe Support EN
  • suppression des droits d'accès aux applications de l'équipe Support EN
X Modification du libellé du groupe Support USA en Support US Utilisateur rattaché aux équipes Support, Support USA, Expert réseau (déjà effectuée)

Synchronisation profil / équipes :

  • l'équipe Support existe déjà

Synchronisation groupes / équipes :

  • l'utilisateur est détaché de l'équipe Support USA
  • suppression des droits d'accès aux applications de l'équipe Support USA
  • l'équipe Support US est créée
  • l'utilisateur devient rattaché à l'équipe Support US
Tags:
Modifié par Utilisateur inconnu le 2017/12/11 11:22
Créé par Administrator XWiki le 2015/04/10 11:24

Raccourcis

L'actualité mensuelle
•  Newsletter

Tous les changements
•  Service Manager
•  Service Apps
•  Self Help

Glossaire

Powered by XWiki ©, EasyVista 2020