FLASH INFORMATIQUE FI

suite du projet SCIA


Identification et Authentification des personnes à l’EPFL




Jean-Jacques DUMONT


Comme le temps passe : c’était juste avant l’aube de l’an 2002 que nous rapportions dans le Flash Informatique (FI-9/1, http://dit-archives.epfl.ch/FI01/fi-9-1/9-1-page5b.html) les progrès du projet SCIA (Système Central d’Identification et Authentification). Pour mémoire, le but de ce projet aussi appelé Annuaires IT2001 était, et est d’ailleurs toujours, de mettre au point une base de données de toutes les personnes susceptibles de bénéficier de services ou prestations disponibles à l’EPFL. Les consommateurs de cette base de données, qu’ils soient humains ou logiciels, doivent pouvoir y trouver le(s) rattachement(s) de ces personnes à une ou plusieurs unités de l’Ecole, ou reconnues par l’Ecole, ainsi que les attributs permettant de déterminer de façon sûre si une personne donnée peut bénéficier de telle prestation ou accéder à telle information confidentielle.

Or justement, c’est en janvier 2002 que se produisit le bouleversement structurel et organisationnel de l’EPFL dont les répercussions nous ont tous touchés d’une façon ou d’une autre. Inutile de préciser que les systèmes de gestion informatique s’appuyant sur les structures administratives subirent une période de réajustement qui pour certains n’a pas encore atteint son terme, les nouvelles unités de l’EPFL n’étant pas encore toutes stabilisées. Nous pensons notamment aux services informatiques eux-mêmes, puisqu’une consultation à propos de leur réorganisation est actuellement en cours...

Il nous a semblé que le moment était néanmoins bien choisi pour refaire un point de situation concernant le projet SCIA et toutes ses ramifications : ACCREDitation, SID, annuaires, IACA (contrôles d’accès aux ressources)... Pourquoi ? Simplement parce que la pièce principale du puzzle existe maintenant et est prête à entrer en exploitation, à savoir le module informatique ACCRED qui permettra d’unifier les processus d’accréditation de toutes les personnes indépendamment de leur statut (voir à ce sujet l’article qui suit de Claude Lecommandeur).

Donc, nous nous étions quittés fin 2001 en constatant que tous les outils sécurisés et consolidés permettant de gérer et diffuser les informations disponibles sur les personnes étaient opérationnels, mais qu’il subsistait de grosses lacunes au niveau de l’alimentation de la base et de la cohérence des données fournies étant donnée la diversité des sources et des processus mis en oeuvre. En particulier, nous mettions en évidence qu’il nous manquait pour mener à son terme le projet SCIA : un bureau d’accréditation pour les personnes ne figurant pas dans les listes officielles des étudiants et du personnel, mais ayant néanmoins droit à un certain nombre de prestations (invités, entreprises sur le site,...) ; des procédures permettant aux facultés d’ajouter dans l’annuaire les utilisateurs de services locaux connus localement (les électrons libres).

L’application ACCRED répond en fait à cette double préoccupation, l’idée principale étant que ce n’est généralement pas au niveau des services centraux mais plutô ;t au niveau des unités que les informations concernant les personnes, leur(s) fonctions et leur(s) rôles sont d’abord connues. En particulier, les nouveaux venus peuvent déjà être déclarés et qualifiés bien avant leur arrivée sur le site. Certains mêmes ne seront jamais présents physiquement, tout en bénéficiant de certains services sur le réseau informatique. Inutile de préciser que les règles de sécurité et les contrôles d’accès s’appliquent d’autant plus à cette catégorie de personnes.

Ces arguments plaident en faveur du modèle décentralisé prévu par Accred. L’application elle-même reste compatible avec un processus central, où un bureau spécialisé du Service des ressources humaines par exemple serait chargé d’effectuer toutes les mises à jour de la base de données. Mais, il s’est avéré lors du développement de l’application que la structure et le fonctionnement actuel de ce service n’était pas adapté à ce type de mission.

C’est à peu près évident pour le cas des personnes qui ne bénéficient pas d’un contrat de travail avec l’EPFL : hôtes académiques et autres invités, stagiaires de statuts divers, entreprises et autres mandataires externes, membres d’associations reconnues utiles à l’EPFL,... Que l’on songe simplement aux entreprises du PSE, aux restaurants et autres commerces sur le site, aux innombrables stagiaires, experts, mandataires, visiteurs et apprentis qui peuplent les labos et l’on se rendra rapidement compte de l’impossibilité pratique de gérer tous ces cas de façon centralisée.

Un autre cas critique est apparu lors de l’analyse : celui du personnel temporaire, qui n’apparaît dans les listes de l’application SAP-RH que lorsqu’ils fournissent leur décompte d’heures de prestation, soit à la fin de leur séjour à l’EPFL ! Si l’on tient compte aussi des cas heureusement plus rares où des retards interviennent lors de l’établissement d’un contrat alors que la personne concernée a déjà commencé son travail, on admettra volontiers qu’une certaine décentralisation du processus d’accréditation s’impose.

Le modèle retenu pour la désignation des accréditeurs patentés est celui de la cascade, tel qu’utilisé déjà par GASPAR : le responsable de faculté désigne les responsables des instituts constituant la faculté, lesquels à leur tour peuvent désigner des responsables pour chaque unité. Le rôle de responsable d’accréditation est géré par l’application ACCRED elle-même, qui lui donne les droits d’accréditeur. En pratique, c’est Mme Denoréaz, actuellement au SIC-SE, qui est chargée de la formation des nouveaux accréditeurs et de la coordination générale en cas de problème technique, organisationnel ou philosophique. C’est elle qui éventuellement les redirigera vers Messieurs Claude Lecommandeur (responsable technique du projet) ou André Martin (responsable organisationnel, représentant M. Bugnon, le Délégué de la direction pour ce projet).

Le détail des processus, une explicitation des droits et devoirs des accréditeurs ainsi que toutes les informations nécessaires à leur compréhension font l’objet d’une charte dénommée Processus d’accréditation des personnes à l’EPFL. On y trouve notamment la description des modules informatiques activés lors de ces processus et des flux d’information circulant entre ces modules.

Si vous vous sentez l’âme d’un accréditeur, vous pouvez aussi vous adresser au soussigné qui vous fera parvenir une copie de cette charte, avec les éventuels compléments d’information que vous pourriez juger utiles.



Cherchez ...

- dans tous les Flash informatique
(entre 1986 et 2001: seulement sur les titres et auteurs)
- par mot-clé

Avertissement

Cette page est un article d'une publication de l'EPFL.
Le contenu et certains liens ne sont peut-être plus d'actualité.

Responsabilité

Les articles n'engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d'autres entités). Toute reproduction, même partielle, n'est autorisée qu'avec l'accord de la rédaction et des auteurs.


Archives sur clé USB

Le Flash informatique ne paraîtra plus. Le dernier numéro est daté de décembre 2013.

Taguage des articles

Depuis 2010, pour aider le lecteur, les articles sont taggués:
  •   tout public
    que vous soyiez utilisateur occasionnel du PC familial, ou bien simplement propriétaire d'un iPhone, lisez l'article marqué tout public, vous y apprendrez plein de choses qui vous permettront de mieux appréhender ces technologies qui envahissent votre quotidien
  •   public averti
    l'article parle de concepts techniques, mais à la portée de toute personne intéressée par les dessous des nouvelles technologies
  •   expert
    le sujet abordé n'intéresse que peu de lecteurs, mais ceux-là seront ravis d'approfondir un thème, d'en savoir plus sur un nouveau langage.