" Authentification unique multi-facteurs " - Coter-Numérique

 
" Authentification unique multi-facteurs " - Coter-Numérique
« Authentification unique multi-facteurs »

 CoTer Numérique – Groupe du Travail – 08 Janvier 2020

 Emmanuelle PINATTON Olivier MOREL

 Administratrice fédérale
 Gestionnaire de patrimoine Sign&go et CMS Directeur Général Adjoint
 DEES\DINSI\DARBO

 Métropole de Lyon ILEX International
 20, rue du Lac 51 Boulevard Voltaire
 CS 33569 - 69505 Lyon Cedex 03 92600 Asnières-sur-Seine
" Authentification unique multi-facteurs " - Coter-Numérique
Sommaire

1. La Métropole de Lyon

2. Objectifs et enjeux du projet « Authentification unique multi-facteurs »

3. Le projet : périmètre, réalisation

4. Exemples de services rendus aux utilisateurs

5. Administration et exploitation

6. Et maintenant ?

7. Q&R

8. Annexes
" Authentification unique multi-facteurs " - Coter-Numérique
1. La Métropole de Lyon
" Authentification unique multi-facteurs " - Coter-Numérique
La Métropole de Lyon

 La Métropole de Lyon rassemble
 toutes les missions de la
 Communauté urbaine de Lyon et
 du département du Rhône sur le
 territoire du Grand Lyon.

 Création le 01 Janvier 2015
 59 communes
 2ème agglomération de France
 1,3 million habitants
 54 120 hectares
 9000 collaborateurs

 Budget 2019 : 3335 M€

 https://www.grandlyon.com/
" Authentification unique multi-facteurs " - Coter-Numérique
Missions et compétences

  Les champs d'action de la Métropole de Lyon :

Développement économique Solidarités Education, culture et loisirs

 • Innovation et • Personnes • Archives et
 action âgées patrimoine
 économique • Personnes • Collèges
 • Relations handicapées
 • Culture
 internationales • Enfance et
 • Prospective et
 • Insertion et Famille
 dialogue public
 emploi • Santé et
 • Soutien aux
 • Attractivité et développement
 bibliothèques
 tourisme social
 • Sports
 • Foncier et • Politique de la
 immobilier ville • Vie associative

 Cadre de vie Gestion au quotidien

 • Habitat et
 logement • Eau et
 • Déplacements assainissement
 • Nature • Nettoiement des
 • Aménagement espaces publics
 urbain • Collecte des
 • Energie déchets
 • Environnement • Voirie
 et écologie
" Authentification unique multi-facteurs " - Coter-Numérique
Direction de l’Innovation Numérique et des
 Systèmes d’Information (DINSI)

 La DINSI fait partie de la délégation DEES (Développement Économique, Emploi & Savoirs).
 Elle a plusieurs missions :
  gestion globale des systèmes d’information,
  gestion des usages numériques,
  gestion des données appartenant au Système d’Information Géographique (SIG),
  gestion des infrastructures téléphoniques fixes et mobiles et des systèmes de câblages,
  relation opérationnelle avec les directions de la Métropole de Lyon.
 La DINSI est composée de 4 Directions adjointes :
" Authentification unique multi-facteurs " - Coter-Numérique
2. Contexte & enjeux du projet
« Authentification unique multi-facteurs »
" Authentification unique multi-facteurs " - Coter-Numérique
Le Système d’information de la Métropole de Lyon

 Le SI de la Métropole est utilisé par plus de 9000 utilisateurs :
  Les internes Métropole : élus Métropole, groupes politiques, agents…
  Les externes Métropole : élus et agents des communes, prestataires, entreprises,
 partenaires et autres collectivités

 Tout utilisateur peut se connecter au réseau de la Métropole
  sur toute machine gérée par la Métropole (~6000 PC fixes et ~1000 portables, ~200
 tablettes, ~1000 smartphones…),
  mais également à partir d’équipements personnels (domicile ou professionnel) dès lors
 qu’ils sont en possession d’un certificat valide.
  depuis les sites Métropole, les sites hors institution, les sites non managés, ou en mobilité

 L’accès au système d’information s‘articule autour des éléments
 suivants :
  En accès interne, les utilisateurs accèdent au SI classiquement par login/mot de passe
  En accès externe, trois points d’accès sont disponibles pour desservir près de 200 services
 applicatifs publiés vers l’extérieur (sur 560 applications gérées par la DINSI), accédés soit
 en authentification login/pwd, soit via certificat électronique
" Authentification unique multi-facteurs " - Coter-Numérique
Etat des lieux des accès au SI
 avant le lancement du projet
 Applications

 SSO
 F5 eBureau
 Storefront
 Postes virtuels

 SSO Application
 Applications
 PWM
 Internes Services de
 Externes Portail
 fichiers
 Juniper
 Applications
 Application
 (Ldap)

 SSO Applications
 Wifi Application ISeSame
 (ISesame)
 Internes
 Externes
 SI RH

 Internes
 AD FS Exchange AD LDS
 SSO

 GLT
 WAP AD
 Délibération PKI
 FIM Synchro
 Élus Métropole Ermès
 Élus Communes Self Service
Agents communes GAV PKI Asset
 Internes
 Support

 FIM Portail
 Alcatel
 AI

 Existant

 Admin
 Services
 techniques
" Authentification unique multi-facteurs " - Coter-Numérique
Etat des lieux des accès au SI avant le projet

 Points d’accès depuis l’extérieur
  Un accès au portail Juniper portail.grandlyon.fr par certificat (~4500 utilisateurs, jusqu’à 20000 connexions
 par jour)
  Un accès au portail ebureau.grandlyon.fr également par certificat (~100 utilisateurs, en moyenne 25
 sessions connectées par jour)
  Un accès à quelques services (Extranet, …) en mobilité ou en poste fixe sans certificat par un 3 ème proxy
 (WAP Microsoft)

 SSO (Single Sign-On)
  Un service « natif » dans le monde Windows (Kerberos)
  17 applications en SSO par un service ISeSame (qui porte également des habilitations)
  Les services de SSO natifs de Juniper et F5 pour certaines applications

 Services de self-administration
  La solution FIM en accès interne
  …et en externe (par Web Service) pour du self- enrôlement pour les agents des communes
  Une solution de réinitialisation de mot de passe (PWM)

 Services d’administration « back-office »
  La solution GAV de gestion des certificats qui prend appui sur une PKI Open SSL
  La solution ISeSame développée en 2006
  La solution FIM de gestion des identités
Et donc… l’authentification au quotidien …

 Lorsque vous vous connectez à un service du Grand Lyon
 A partir d’un poste interne
 A partir de territoires.grandlyon.fr

 Depuis l’extérieur, sur portail.grandlyon.fr…

  Une authentification « forte » aux variations multiples !
Conséquences de cet état des lieux

 Un constat
  Des failles de sécurité importantes (usurpation d’identité, maitrise des identités, …)
  Une complexité des processus d’ouverture d’accès (parfois plusieurs jours)
  Des responsabilités dans la gestion des accès, diluées dans l’organisation
  Une expérience utilisateur parfois délicate (installation, renouvellement, auto-
 administration…)
  Des manques fonctionnels (absence de traçabilité des accès, supervision, …)
  Concernant l’offre technique
  Une démultiplication des points d’accès
  Des services de SSO plutôt restreints et un usage limité
  L’absence de réponse pour des accès à des applications Cloud
  Une complexité et des coûts d’administration élevés…peu admissibles en cas
 d’accroissement de volume

 Or …
  Une diversification des usages (mobilité, équipements, situation d’accès, …)
  Un accroissement des besoins d’authentification (passage d’équipements fixes à des
 mobiles)
  Une diversification des modes d’accès (Accès depuis l’intérieur à une application Cloud…)
  Une ouverture de service vers de plus en plus de comptes internes ou externes
  Un partage de services d’accès avec des tiers « institutionnels »
Les nouveaux enjeux exprimés par la DINSI

 Proposer des modes d’authentification adaptés aux contextes d’usages des
 utilisateurs et aux différents services applicatifs proposés

 Améliorer l’expérience utilisateur lors de l’accès au SI

 Améliorer la sécurité des accès au SI et en optimiser les coûts d’exploitation et
 d’administration

 Organiser la gouvernance autour de la gestion des accès au SI et disposer
 d’une solution d’administration, de supervision, d’audit performante

 Supporter la diversification des architectures applicatives et des solutions
 d’hébergement

 Pour répondre à ces enjeux, la solution Sign&Go Global SSO
 de l’éditeur ILEX International a été retenue.
Choix de la solution : les offres du marché

 Une offre fonctionnelle large
  Concernant l’authentification
  Des solutions matérielles (clés USB, cartes à puce, …)
  Des solutions logicielles (labellisées pour certaines par l’ANSSI) basées sur les équipements, les
 sessions…en mode connecté ou déconnecté
  Des solutions adaptatives basées sur des analyses de contexte et des scénarios
  Concernant le SSO
  Des solutions de Web SSO (par complétion des URL par exemple, ou d’injection)
  Des solutions d’Enterprise SSO (eSSO) d’interception des mires d’authentification
  Des solutions de Mobile SSO basées sur des kiosks de services installés sur les mobiles
  Des solutions de fédération basées sur des protocoles standards

 Une diversité des offres
  Des solutions libres, libres sous licence commerciale, propriétaires
  Des solutions cloud, on premise, voire hybride avec des niveaux d’hybridation variés
  Des prix à l’utilisateur, au token, à la période, …etc !
  Des licences par abonnement (ou support annuel), d’autres par acquisition

 Quelques contraintes GL
  Le composant Juniper est conservé dans ses fonctions de portail, et de SSO encore pour
 un certain temps (pour les accès externes)
  La solution doit être hébergée sur l’infra Grand Lyon
  La solution doit être en modèle d’acquisition
Pourquoi la solution ILEX Sign&go Global SSO ?

  Couverture fonctionnelle…

 Authentification Authentification Administration Gestion des
 Identification
 (Id 1er facteur)
 (Id ++ 1er facteur) 2ème facteur administrateurs autorisations
fonctionnels

 Configuration
 Configuration self- Gestion des actifs Habilitation des
 Blocs

 Self Service Supervision
 self-service
 service d’authentification services

 Portail de Publication des Administration Cycle de vie des
 Audit, traçabilité
 services services des accès identités
techniques

 Échanges
 Blocs

 données et Reverse proxy Stockage identités
 services

 L’offre ILEX Sign&go

 Périmètre du Hors périmètre
 projet projet
3. Le projet
« Authentification unique multi-facteurs »
Le projet requalifié

 La solution doit permettre aux utilisateurs internes ou externes …
  d’authentifier et d’autoriser l’accès aux services applicatifs de la Métropole ou à des services de
 confiance, conformément à la PSSI, éventuellement par l’utilisation de système de confiance tiers
  d’accéder à des solutions « On premise » ou « Cloud » depuis tous types de terminaux managés par la
 Métropole ou non managés
  d’administrer, superviser et auditer les accès aux services mis à dispositions par la Métropole de manière
 centralisée

 Quelques cas d’usage significatifs à adresser (choisis parmi 3 cas d’usages
 internes et 11 cas d’usage externes explicités) :
  Accès par les ViP, à partir de tablettes (équipement dédié, managé par la Métropole), en accès externe
 sur réseau Internet
  Accès par des prestataires GL, à partir de PC entreprise, non managé par la Métropole, sur site non
 managé, en accès externe, en réseau Internet
  Accès par des internes, sur équipement managé, en prêt, par réseau Internet, à des applications
 hébergées

 Le choix des scenarios retenus (pour le pilote) :
  S1 : les agents des communes (environ 2500 utilisateurs)
  S2 : les élus (168 utilisateurs)
  S3 : Intégration des 3000 nouveaux utilisateurs du projet « un agent / un compte »
Le projet requalifié

  Les zones de redondance potentielle avec l’existant

 Juniper F5 Juniper ADFS F5 Juniper F5

 Authentification Authentification Administration Gestion des
 Identification
 (Id + 1er facteur) 2ème facteur administrateurs autorisations
 ISeSame

 PWM FIM GAV Juniper F5 ISeSame
fonctionnels

 Configuration self- Gestion des actifs Habilitation des
 Blocs

 FIM
 Self Service Supervision
 service d’authentification services

 Juniper Juniper Juniper ISeSame Juniper F5

 Portail de Publication des Administration Cycle de vie des
 Audit, traçabilité
 services services des accès identités
techniques

 Échanges WAP F5
 Blocs

 données et Reverse proxy Stockage identités
 services

 Périmètre du Hors périmètre
 projet projet
Le projet requalifié
 SSO

 F5
 eBureau
 Existant
 Postes virtuels
 SSO Application
 Portail Applications
 Le projet
 Internes
 Juniper
 Externes
 Services
 Migration à l’étude
 techniques
 F5

 Applications Fédération

 Wifi

 Internes
 Externes Solution sur site
 Par acquisition
 Portail

 Application
 Login

 Authent. 1er Application
 F5

 Services
 Élus Métropole facteur (SSO)
 Élus Communes
Agents communes Authent. 2ème
 Internes
 facteur SSO uniquement pour
 les accès gérés par la
 solution cible
 Administration

 AD
 LDS

 Admin
 FIM
 Self FIM portail AD
 Synchro

 PKI
 …
 Projet indépendant en
 attente initialisation
La solution mise en œuvre

 Sign&go
  Sign&Go global SSO pour l’authentification, le contrôle d’accès et le SSO
  Sign&Go CMS pour la gestion du cycle de vie des certificats

 Authentification Déblocage
 Sign&Go Global SSO

 Contrôle d’accès Fédération
Périmètre projet

 Web SSO Log / Audit
Hors périmètre

 Mobile SSO Self-service

 eSSO Portail applicatifs
Périmètre déployé pour la 1ère version du projet

 Périmètre initialement ouvert, puis contractualisé en étude

  Remplacement du point d’accès WAP/ADFS utilisé par les agents des communes et les élus, avec
 raccordement des applications : Grand Lyon Territoires, Ermes, Délibérations agents et élus

  Ouverture des accès à 3000 agents qui n’ont pas de comptes aujourd'hui (projet 1 agent / 1 compte), avec
 raccordement des applications : Comète, Foederis, Ermes, Webmail, Annuaire Sharepoint

  Ouverture du service « Espaces Collaboratifs » en Sharepoint 2016, pour 50 utilisateurs

 1èrs services rendus :

  Un parcours de premier enregistrement (validation charte, collecte données de contact)

  Plusieurs schémas d’authentification (Id/Pwd, OTP mail, SMS, Authenticator) dépendant de la criticité
 des applications et de leurs contextes d’usage

  Un premier service « monprofil.grandlyon.fr » et un service de demande de création de compte pour les
 agents des communes

  Des services de réinitialisation de mot de passe par OTP ou parrainage
Zoom sur l’authentification adaptative

 Quels moyens d’authentification ?

 La criticité des impacts Le contexte d’usage

 Disponibilité Intégrité Confidentialité
 Service rendu 2
 Juridique 1
 Image 3
 Financier 2

 Les solutions d’authentification

 Niveau faible Identifiant / mot de passe

 ? 
 
 Niveau moyen
 Niveau fort
 Niveau très fort
 OTP par SMS, mails
 Application mobile / Certificat
 Carte à puce avec code PIN

  Une qualification déterminée par une négociation métier / DINSI
La solution Sign&go - Architecture logique

 Administrateurs

 Authentification

 Outils admin. Outils admin. Administration

 Administrateurs
 Serveur de
 sécurité Sign&Go
 Intranet /
 F5

 Authentification
 Extranet

 Création Application
 Application
 Élus Applications
Agents communes compte
 Externes
 Internes Mon Profil
 AD

 FIM

 SSO Application
 Portail Applications
 Juniper
 Internes
 Externes
 SSO
 F5

 eBureau

 Postes virtuels
La solution Sign&go - Architecture technique

 Cinématique d’accès type

 4

 6 3 0 5 0

 2 7 2 7

 1 6
Macro Planning

 Dates clés
  Démarrage du projet le 12/03/2018
  Lancement T0 : 16/04/18
  VA : le 19/10/18
  Déploiement :
  25/10 : Pilote agents des communes
  09/11 : Pilote 1 agent / 1 compte
  15/11 : Bascule Wap/ADFS
Zoom sur la stratégie de déploiement

 24/10 09/11 16/11 01/01/2019
 1 2 3 4 5 6 7 8
 05/11 10/12
 Conseils
 08/10 22/10 30/10 12/11 26 03/12
Commissions
 Copil CIME
 Autres 10/10 22/10 Congés 02/11
événements
 2500 2600
 10 20 60
 1 20 168

 Grd Lyon Territoires Comète Grd Lyon Territoires Comète 2016
 Impacts Ermes Foederis Ermes Foederis
 Délibération élus Webmail Délibération élus Webmail
 Délibérations Annuaire Délib. Agents Annuaire
 agents Ermes Espaces collab. 2016 Ermes

 CPI CIME
 CPU (s) CPI AI
 INT CPU (s) Admin
 Synetis INT CIME
 CPI Synetis
 AI
 Équipe projet INT Admin
 Synetis

 CPI
 Pilotes de CIME
 INT
 service AI
 CIME Admin
 Admin Synetis
 Synetis
4. Exemples de services rendus aux
utilisateurs
Services proposés aux utilisateurs finaux

 Le processus de première authentification
 Si 1ère connexion

 Agent interne
 Élus
Agent des communes
 Validation charte
 Saisie d’information de contact

 Si compte inexistant Si authentification de niveau > 2

 Après un premier accès à une application de niveau N
  Un accès à une application de niveau ≤ ne nécessite pas d’authentification complémentaire
  Un accès à une application de niveau > nécessite une nouvelle authentification
Services proposés aux utilisateurs finaux

 Déblocage en cas d’oublis de mots de passe

 Inscription
Services proposés aux utilisateurs finaux

  Le parrainage
  Principe :
  Un utilisateur a perdu son mot de passe
  Il peut faire appel à un « ami » habilité par l’administrateur à le débloquer
  Il a préalablement renseigné une question personnelle
  Le processus de parrainage

Utilisateur

 Parrain
 ?
  Ce processus a été durci (par un challenge questions/réponses)
  Il peut être rendu intégralement autonome
Services proposés aux utilisateurs finaux

 Les accréditations et le SSO
  Les accréditations sont les comptes utilisés par Sign&Go pour identifier l’utilisateur et lui
 donner accès aux applications
  Les accréditations primaires : comptes annuaire d'entreprise
  Les accréditations secondaires : comptes applicatifs

 Avec Sign&go
 Avant Sign&go Application A
 sitcmaq

 **********
 sitcmaq
 Application A
 ********** Admin07
 Application B
 S **********
 Admin07
 N
 Application B
 ********** G cmaq@gl.fr
 Utilisateur Application C
 **********
 cmaq@gl.fr
 sitcmaq
 Utilisateur Application C
 ********** **********
 sitcmaq Zoe12
 Application D
 ********** **********
 Zoe12
 Application D
 **********
 Accréditation
 Primaire App.
 secondaire

 Sitcmaq / ******** A Sitcmaq

 B Admin07

 C cmaq@fl.fr

 D Zoe2
  Pour les gérer….
  Par apprentissage : soit par l’utilisateur lui-même (Pas proposé dans un premier temps)
  Par une administration déléguée (AI, CIME, Mainteneurs…)
  Par une identification fonctionnelle (Cas des applications type compte Windows)
Services proposés aux utilisateurs finaux

 Monprofil.grandlyon.fr
En synthèse, ce qui change pour les utilisateurs

 Des changements techniques
  Un nouveau point d’accès en remplacement d’un ancien !
  Des accès par les intranet/extranet ou par URL direct
 Des changements fonctionnels
  Pour l’utilisateur final
  Des moyens d’authentification « adaptés »
  Des fonctions de « self-service » : installation certificat, enrôlement terminal, changement de mot de passe, …
  Une expérience plus fluide apportée par le SSO
  Pour l’administration des accès
  Des capacités de configuration de politiques d’accès
  Des fonctions d’administration déportées vers le centre de support ou les AI
  Des fonctions de contrôles, d’audit et d’analyse
  …?
 Des changements dans les processus projet et MCO
  La nécessaire qualification de la criticité des applications, des contextes d’usage
  La prise en compte d’un tiers (Sign&Go) lors de l’intégration d’une application
  ….réciproquement, des changements possibles induits par des configurations d’authentification ou des
 évolutions de condition de raccordement
  Une qualification supplémentaire lors du traitement des incidents
 Des changements organisationnels
  Une solution administrée par l’équipe DARBO
  Des AI en capacité de réaliser des opérations de proximité
Communication
Focus : projet « 1 agent, 1 compte »

 2600 agents sans compte ou avec un accès complexe
  Développement urbain & cadre de vie (DDUCV)
  Ressources (DR)
  Développement solidaire, habitat & éducation (DDSHE)
  Restaurant administratif, garage, nettoyage et maintenance des
 bâtiments (DGR)

 Objectif : Donner un compte informatique à chacun

 Pour accéder à quoi ?
  Une adresse mail professionnelle
  Un accès à l’intranet Comète, l’annuaire des agents, l’espace emploi-
 formation (Fœderis), le Portail de la documentation (Ermes)
  Courant 2019/2020 : recrutement, demande de formations,
 documentation, gestion des congés, déroulement de carrière …

 Pas de comptes prévus pour :
  Contrats de courte durée (moins de 6 mois)
  Agents en disponibilité (sauf ceux d’office pour raison de santé)
  Agents en détachement (sauf Musée des Confluences)
1A1C : vont-ils y accéder ?

 Le préalable : Y accéder simplement, depuis n’importe quel lieu ayant
 un accès internet, avec n’importe quel équipement personnel
 (smartphone, tablette, ordinateur)

 Accès sécurisé (projet authentification multi-facteurs) :
  Connexion par une adresse internet
  Saisie login + mot de passe
  Puis saisie d’un code de confirmation unique généré à chaque connexion et envoyé par
 sms ou mail > implique que l’agent donne son numéro de portable perso et/ou son mail
 perso

 Modalités pour informer les 2600 agents
  Création des comptes par les AI
  Un courrier au domicile de chaque agent :
  Son login et son mot de passe provisoire
  Une plaquette expliquant les services en accès et les modalités de connexion
  Envois des courriers échelonnés sur 2 mois
  Information de/via la ligne managériale
  NB : les managers informatisés n’ ont pas le même mode d’accès à distance
  Déplacement sur les principaux sites de travail sur le 1er trimestre 2019
5. Administration et exploitation
…Et maintenant comment fait-on ?

  L’organisation mise en place autour de Sign&Go
 Back Office

 Front Office

 Services d’authentification
 Services d’authentification MCO socles
 Bénéficiaires
 Services d’administration
 CIME / AI
 Services d’administration
 CIME / AI Configuration scénarios et
 accès
 MCO socles
 Socle logiciel et
 configurations Gestionnaire
Administrateur patrimoine
 DARBO DARBO Log / Audit
 Administrateur
 Socle technique DARBO
 F5 Socle logiciel et
 Pilotes de production configurations Gestionnaire
 DARBO patrimoine
Utilisateurs DARBO

 Utilisateurs Socle technique

 AD Pilotes de production
 DARBO

 Administrateur Sign&Go = Gestionnaire patrimoine Sign&Go
Administration

 Accès direct aux outils d’administration
  Depuis Internet
  Depuis le LAN

 Quelques documentations
Accédez-vous à
 l’application Le traitement des incidents

Oui Non

 Poste connecté au Question ?
 réseau Métropole ?

 État
 • Comete
 • Grand Lyon Territoires
 Site
 Internet • Delibération agents / élus
 Métropole • Ermes
 • Foederis
 • Webmail
 Quelle URL utilisez-
 • Annuaires Sharepoint
 vous ?
 • Espaces collaboratifs

 • Je ne connais pas mon identifiant.
 Utilisateur • J’ai oublié mon mot de passe.
 Utilisateur Utilisateur
 applications • Je n’arrive pas à me connecter à une application.
 Juniper Sign&Go
 F5 direct • Je ne reçois pas de SMS avec le code.
• Portail.grandlyon.fr • Je ne reçois de mail avec le code.
 • Je n’arrive pas à enrôler mon mobile ou ma tablette.
 Quel est le
 problème ? • Je n’ai pas de certificat
 • Je ne ‘ai pas de compte pour accéder à l’application

 • Mot de passe
 Incident accès
 Incident Incident • Parrainage
 application d’authentification
 Niveau 1 • Accréditations
 (Procéduré) • Informations de contact
 CIME / AI • Enrôlement de mobile
 Niveau ?

 • Accès à une application
 Compte • Erreur 403, 404…
 Niveau 2
 application •?
 Administrateur
 Sign&go
6. Et maintenant ?
…Et maintenant comment fait-on ?

 Ce qui a été écarté du 1er périmètre…
  Le raccordement des applications accessibles par Comète et GLT (Lyvia, Cart@DS, …)
  Un portail de service applicatif
  Un service « monprofil.grandlyon.fr » enrichi couplé à la gestion d’identités

 …Ce qui pourrait être fait à terme
  Un kiosque « mobile » pour tablette, smartphone, ….
  Une intégration des moyens d’authentification et de signature
  Une généralisation du SSO pour toutes applications (Remplacement de ISesame notamment)
  Des nouveaux cas d’usages

 Pour planifier un raccordement à Sign&go (aujourd’hui !)
  Sollicitation de l’instance « Coordination accès au SI »
  Priorisation / Ordonnancement par cette instance

 Pour raccorder une nouvelle application, 4 étapes
 1. Qualification du niveau d’authentification (Criticité / Cas d’usage)  Chef de projet / RSSI
 2. Spécification technique  Intégrateur / Administrateur Sign&go
 3. Raccordement technique  Administrateur de la solution
 4. Validation fonctionnelle et technique  Intégrateur / Chef de projet
Merci !
Annexe : Zoom sur la gestion des
certificats
L’architecture logique sign&go CMS
 DMZ

 Administrateurs

 Authentification

 Outils admin. Administration

 https://cms.grandlyon.fr/cms/connect

 Élus
 F5

Agents communes Gateway PKI
 Externes
 Internes CMS
 Self service utilisateurs PKI AD CS

 https://certificats.grandlyon.fr

 LDAP

 Utilisateur interne Scénarios AD

 CIME / AI
Les services proposés aux utilisateurs finaux

 Processus de demande de certificat
Services proposés aux utilisateurs finaux

 Demande de certificat
Services proposés aux utilisateurs finaux

 Retrait d’un certificat
Services proposés aux utilisateurs finaux

 Renouvellement d’un certificat
SNG - Stratégie de déploiement

 01/01/2019
 1 2

 08/10 05/11

Impacts
 Échantillon d’utilisateur Élus
 Utilisateurs finaux

 2500 2500

 10 1 20 168

 50 60

 Pilotage
 Réalisation
 Proximité
 Support Niv 1
 Support Niv 2
 Support Niv 3

 AI CIME CPI Admin ILEX Int.

 Élus Externe Interne
Avez-vous reçu votre
 email de retrait ?
 Le traitement des incidents

 Non Oui

 Accédez-vous à
 l’interface de retrait ? Question ?

 État

 Non Oui

 • certificat.grandlyon.fr/…
 Avez-vous utilisez le
 mot de passe de
 retrait ?

 Non Oui

 Quel est le
 problème ?

 Incident accès Incident de retrait

 Niveau ?
 Administrateur
 CMS
CIME / AI • J’ai oublié mon mot de passe.
 • Je ne reçois de mail avec le code. Niveau 1
 • Erreur 403, 404…
 • Je n’ai pas de certificat. (Procéduré)
 Niveau 2 •?
 • Je ne connais pas mon mot de passe
En synthèse, ce qui change avec Sign&go CMS

 Ce qui va changer avec l’arrivée du CMS

  Des changements techniques
  Un nouveau self-service utilisateur en DMZ
  Une nouvelle PKI (Windows)

  Des changements fonctionnels
  Pour l’utilisateur final
 – Un nouveau processus de retrait de certificat
 – Des fonctions de « self-service » : installation certificat
  Pour l’administration des accès
 – Des capacités de configuration de politiques d’accès
 – Des fonctions de contrôles, d’audit et d’analyse

  Des changements organisationnels
  Une solution administrée par l’équipe DARBO
  Des AI en capacité d’exécuter le scénario de demande de certificat
Merci !
Vous pouvez aussi lire
DIAPOSITIVES SUIVANTES ... Annuler