Aujourd’hui, nombre d’entreprises équipent ses collaborateurs de terminaux mobiles tels que des iPhone, des iPad ou encore des MacBook. L’évolution logique du travail en mobilité est la gestion en mobilité des équipements de travail, et plus encore, le déploiement automatisé en mobilité de tout outil utilisé par les employés de l’entreprise.
Cela passe donc par une dématérialisation du travail du support informatique de l’entreprise. Ainsi, un certain nombre de tâches doivent être repensées pour fonctionner de n’importe où et sans assistance. Cela inclut par exemple :
- l’activation initiale de l’équipement ;
- l’enregistrement au service de gestion de l’entreprise ;
- la mise à jour de l’inventaire ;
- l’installation automatisée des applications de l’entreprise ;
- la configuration des différents comptes et services.
Tout en garantissant la sécurité des informations de l’entreprise.
Pour répondre à l’ensemble de ces défis, plusieurs outils sont nécessaires. Le gestionnaire de flotte (MDM, EMM, UEM… choisissez votre acronyme) est celui auquel tout le monde pensera. Cependant, un second outil est nécessaire : le gestionnaire d’identité fédéré.
Le gestionnaire d’identité fédéré est à l’authentification sur des services web ce qu’est le gestionnaire de terminaux à vos équipements. Il permet de garantir la politique de sécurité de l’entreprise sur des services déportés.
Correctement mis en œuvre, un gestionnaire de terminaux et un gestionnaire d’identité fédéré permettent ensemble de configurer et authentifier automatiquement les terminaux d’entreprise des utilisateurs.
Le scénario est simple :
- l’utilisateur reçoit un équipement directement chez lui ou à son bureau ;
- il le démarre et suis l’assistant initial lui imposant de s’authentifier avec son compte entreprise (qu’on aura pris soin de lui rappeler si nécessaire) ;
- le gestionnaire de terminaux personnalisé la machine pour lui (compte e-mails, applications, stratégies de sécurité…) ;
- une fois les applications installées et configurées, l’utilisateur les lances une à une ;
- chaque application démarre sa séquence d’authentification via les informations fournies par le gestionnaire de terminaux ;
- la demande d’authentification de ces applications est gérée par le gestionnaire d’identité fédérée ;
- celui-ci utilise des mécanismes d’authentification forts et intégrés à la plateforme pour identifier l’utilisateur associé à l’équipement par le gestionnaire de terminaux ;
- l’utilisateur est authentifié auprès de son service et n’a plus qu’à configurer ses préférences personnelles (comme l’acceptation ou non des notifications).
Dans toute cette séquence, l’utilisateur ne s’est authentifié qu’une fois au tout début, dans la phase de personnalisation de l’équipement. Le reste est sans configuration, sous condition que les applications de l’entreprise soient toutes modernes (elles doivent supporter l’authentification fédérée et la configuration automatisée par un gestionnaire de terminaux).
Pour mieux appréhender ce scénario, voici quelques vidéos mettant bien en valeur chaque opération. Les enregistrements sont faits depuis un iPod touch (mais cela pourrait tout aussi bien être un autre produit Apple), géré par VMware Workspace ONE UEM (anciennement AirWatch). Les services utilisés dans la démonstration sont fédérés auprès de VMware Identity Manager.
Ces deux produits VMware sont vendus à travers d’un seul et unique package : VMware Workspace ONE.
La première vidéo montre l’activation initiale d’un équipement iOS, l’assistant du produit tout juste sorti du carton demande à l’utilisateur un accès Internet, ses identifiants entreprise, et quelques préférences personnelles.
La seconde vidéo présente le fonctionnement d’une application idéale : les réglages sont fournis par le gestionnaire de terminaux et la redirection vers le gestionnaire d’identité est automatique, menant ainsi à un lancement sans aucune configuration. Cette possibilité est ici démontré avec le logiciel VMware People Search permettant d’accéder au carnet d’adresses interne de l’entreprise depuis un équipement iOS.
Pour continuer dans les exemples, nous avons une autre application VMware, Workspace, l’application libre-service du gestionnaire de terminaux Workspace ONE UEM. Elle permet d’accéder aux services en ligne intégrés dans Identity Manager ainsi que demander à Workspace ONE UEM d’installer des composants optionnels. Elle est configurée ici pour remplir automatiquement l’adresse du serveur Identity Manager, mais ne pas avancer automatiquement (pour les besoins de la démo, autrement elle pourrait se comporter comme People Search).
L’exemple suivant repose sur le fonctionnement de RingCentral Meeting. Ici, l’application ne supporte aucune méthode de configuration automatique, mais permet tout de même une fédération auprès de VMware Identity Manager. L’utilisateur doit donc renseigner son adresse e-mail pour continuer.
Un autre exemple d’application pouvant être fédéré, mais pas géré avec Slack, ici l’application impose à l’utilisateur de spécifier son nom d’instance pour aller plus loin. En effet, si l’on souhaite disposer d’une configuration automatisée, Slack impose à l’heure actuelle l’utilisation de Slack Grid, l’offre pour grande entreprise.
Il semble ainsi évident que ce genre de fonctionnement est impératif. Les éditeurs de logiciels font majoritairement l’effort nécessaire à rendre leurs applications à usage professionnel compatible avec ces scénarios de terminaux et d’identités gérés par l’entreprise.
Il est important de se rendre compte d’une chose ici, ces fonctionnalités ont certes un impact positif sur la sécurité du système d’information et la réduction des coûts d’exploitation, cependant l’attrait majeur est l’expérience utilisateur.
En cela, certaines entreprises (comme Slack actuellement) n’ont pas compris qu’elles devaient offrir ces fonctionnalités au plus grand nombre. C’est à nous, entreprises clientes et consultants en gestion de flotte, de les pousser dans la bonne direction.
Dans les récents supports de ce scénario, nous avons Apple qui sous macOS 10.14 et iOS 12 permet maintenant un support de l’authentification « moderne » des comptes Exchange.
Les mêmes fonctionnalités sont également disponibles sur macOS.
Pour Abelionni, il semble évident qu’aucune gestion de système d’information ne peut se passer du duo gestionnaire de terminaux / gestionnaire d’identité.
Les effets positifs sont indéniables, les améliorations concernent :
- la sécurité du système d’information ;
- la simplicité d’usage ;
- la réduction des coûts d’exploitation.